Oprogramowania ransomware Black Basta
„Storm-1811 to motywowana finansowo grupa cyberprzestępcza, znana z wdrażania oprogramowania ransomware Black Basta ” – podała firma w raporcie opublikowanym 15 maja 2024 r. Łańcuch ataków obejmuje podszywanie się za pośrednictwem phishingu głosowego w celu nakłonienia niczego niepodejrzewających ofiar do zainstalowania narzędzi do zdalnego monitorowania i zarządzania (RMM), po czym następuje dostarczenie oprogramowania QakBot, Cobalt Strike i ostatecznie oprogramowania ransomware Black Basta.
„Osoby atakujące niewłaściwie wykorzystują funkcje Quick Assist do przeprowadzania ataków socjotechnicznych, udając na przykład zaufaną osobę kontaktową, taką jak pomoc techniczna Microsoft lub specjalista IT z firmy docelowego użytkownika, aby uzyskać początkowy dostęp do urządzenia docelowego” – powiedział gigant technologiczny.
Quick Assist to legalna aplikacja firmy Microsoft, która umożliwia użytkownikom udostępnianie urządzenia z systemem Windows lub macOS innej osobie za pośrednictwem połączenia zdalnego, głównie w celu rozwiązywania problemów technicznych w ich systemach. Jest instalowany domyślnie na urządzeniach z systemem Windows 11.
„Atak bombowy”
Aby ataki były bardziej przekonujące, cyberprzestępcy przeprowadzają ataki z listą linków – rodzaj ataku bombowego polegającego na bombardowaniu wiadomości e-mail, podczas którego wybrane adresy e-mail są rejestrowane w różnych legalnych usługach subskrypcji poczty e-mail, aby zalać ich skrzynki odbiorcze subskrybowanymi treściami.
Następnie przeciwnik podszywa się pod zespół wsparcia IT firmy, wykonując rozmowy telefoniczne z docelowym użytkownikiem, rzekomo oferując pomoc w rozwiązaniu problemu ze spamem i przekonując go do udzielenia dostępu do swojego urządzenia za pomocą funkcji Quick Assist.
„Gdy użytkownik umożliwi dostęp i kontrolę, atakujący uruchamia skryptowe polecenie cURL w celu pobrania serii plików wsadowych lub plików ZIP używanych do dostarczania szkodliwych ładunków” – powiedział twórca systemu Windows.
„Storm-1811 wykorzystuje ich dostęp i wykonuje dalsze czynności bezpośrednio na klawiaturze, takie jak wyliczanie domen i przemieszczanie boczne. Następnie Storm-1811 używa PsExec do wdrażania oprogramowania ransomware Black Basta w całej sieci”.
Microsoft oświadczył, że dokładnie przygląda się niewłaściwemu wykorzystaniu Quick Assist w tych atakach i pracuje nad włączeniem do oprogramowania komunikatów ostrzegawczych, aby powiadamiać użytkowników o możliwych oszustwach związanych z pomocą techniczną, które mogłyby ułatwić dostarczanie oprogramowania ransomware.
Kampania, która prawdopodobnie rozpoczęła się w połowie kwietnia 2024 r., była wycelowana w różne branże i branże, w tym produkcję, budownictwo, żywność i napoje oraz transport, stwierdził Rapid7, wskazując oportunistyczny charakter ataków.
„Niska bariera wejścia na rynek umożliwiający przeprowadzenie tych ataków w połączeniu ze znaczącym wpływem, jaki te ataki mają na ofiary, sprawiają, że oprogramowanie ransomware w dalszym ciągu jest bardzo skutecznym środkiem do celu dla cyberprzestępców szukających zarobku” – Robert Knapp, starszy menedżer ds. reagowania na incydenty usług w Rapid7, stwierdzono w oświadczeniu udostępnionym The Hacker News.
Zamknięta oferta oprogramowania ransomware
Microsoft opisał również Black Basta jako „zamkniętą ofertę oprogramowania ransomware” w przeciwieństwie do operacji ransomware jako usługi (RaaS), która składa się z sieci głównych programistów, podmiotów stowarzyszonych i brokerów pierwszego dostępu, którzy przeprowadzają ataki ransomware i wymuszenia.
Jest „rozpowszechniany przez niewielką liczbę ugrupowań zagrażających, które zazwyczaj polegają na innych ugrupowaniach zagrażających w zakresie początkowego dostępu, złośliwej infrastruktury i rozwoju złośliwego oprogramowania” – stwierdziła firma.
„Odkąd Black Basta pojawiła się po raz pierwszy w kwietniu 2022 r., napastnicy Black Basta wdrożyli oprogramowanie ransomware po uzyskaniu dostępu od QakBot i innych dystrybutorów złośliwego oprogramowania, co podkreśla potrzebę skupienia się przez organizacje na etapach ataku przed wdrożeniem oprogramowania ransomware, aby zmniejszyć zagrożenie”.
Organizacjom zaleca się blokowanie lub odinstalowywanie aplikacji Quick Assist oraz podobnych narzędzi do zdalnego monitorowania i zarządzania, jeśli nie są używane, a także przeszkolenie pracowników w zakresie rozpoznawania oszustw związanych z pomocą techniczną.
