Microsoft: Cibercriminosos explorando recurso de assistência rápida em ataques ransomware

A equipe de Inteligência de Ameaças da Microsoft relatou ter observado um agente de ameaça, identificado como Storm-1811, explorando a ferramenta de gerenciamento de clientes Quick Assist para realizar ataques de engenharia social contra usuários.

“Storm-1811 é um grupo cibercriminoso com motivação financeira, conhecido por distribuir o ransomware Black Basta“, afirmou a empresa em um relatório divulgado em 15 de maio de 2024.

A cadeia de ataque inclui a falsificação de identidade por meio de phishing de voz, enganando vítimas inocentes para que instalem ferramentas de monitoramento e gerenciamento remoto (RMM). Em seguida, são entregues o QakBot, o Cobalt Strike e, finalmente, o ransomware Black Basta.

“Os agentes de ameaça abusam dos recursos do Quick Assist para realizar ataques de engenharia social, fingindo ser um contato confiável, como suporte técnico da Microsoft ou um profissional de TI da empresa da vítima, para obter acesso inicial ao dispositivo alvo”, explicou a gigante da tecnologia.

Microsoft Quick Assist

O Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seus dispositivos Windows ou macOS com outra pessoa através de uma conexão remota, principalmente para resolver problemas técnicos. Ele vem pré-instalado em dispositivos que executam o Windows 11.

Para tornar os ataques mais convincentes, os agentes de ameaça realizam ataques de listagem de links, uma técnica em que endereços de e-mail alvo são inscritos em vários serviços legítimos de subscrição, inundando as caixas de entrada das vítimas com e-mails de inscrição.

O adversário então se passa pela equipe de suporte de TI da empresa através de chamadas telefônicas para a vítima, oferecendo assistência para resolver o problema de spam e solicitando acesso ao dispositivo por meio do Quick Assist.

“Uma vez que o usuário concede acesso e controle, o agente de ameaça executa um comando cURL com script para baixar uma série de arquivos em lote ou arquivos ZIP, usados para entregar cargas maliciosas”, afirmou a Microsoft.

“O Storm-1811 utiliza esse acesso para realizar outras atividades no teclado, como enumeração de domínio e movimentação lateral. Em seguida, usa o PsExec para implantar o ransomware Black Basta em toda a rede.”

A Microsoft informou que está monitorando de perto o uso indevido do Quick Assist nesses ataques e está trabalhando na incorporação de mensagens de aviso no software para alertar os usuários sobre possíveis golpes de suporte técnico que podem facilitar a entrega de ransomware.

A campanha, que se acredita ter começado em meados de abril de 2024, tem como alvo uma variedade de indústrias e setores, incluindo manufatura, construção, alimentos e bebidas, e transporte, destacou a Rapid7, indicando a natureza oportunista dos ataques.

“A baixa barreira de entrada para a realização desses ataques, juntamente com os impactos significativos que esses ataques têm sobre suas vítimas, continuam a fazer do ransomware um meio muito eficaz para acabar com os agentes de ameaças que buscam um dia de pagamento”, Robert Knapp, gerente sênior de resposta a incidentes. serviços no Rapid7, disse em comunicado.

A Microsoft também caracterizou o Black Basta como uma “oferta fechada de ransomware”, diferenciando-o de uma operação de ransomware como serviço (RaaS), que envolve uma rede de desenvolvedores, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.

Ele é “distribuído por um pequeno número de agentes de ameaças que normalmente dependem de outros agentes para obter acesso inicial, infraestrutura maliciosa e desenvolvimento de malware”, explicou a empresa.

“Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os atacantes têm implantado o ransomware após obter acesso através do QakBot e de outros distribuidores de malware, ressaltando a necessidade de as organizações se concentrarem nos estágios iniciais do ataque para reduzir a ameaça antes da implantação do ransomware.”

Recomenda-se que as organizações bloqueiem ou desinstalem o Quick Assist e ferramentas semelhantes de monitoramento e gerenciamento remoto se não estiverem em uso e treinem os funcionários para reconhecer golpes de suporte técnico.