Ataques de ransomware: cibercriminosos exploram recurso de assistência rápida da Microsoft

ransomware-avoslocker-fbi-compartilha-detalhes-tecnicos-e-da-dicas-de-como-se-defender

A equipe de Inteligência de Ameaças da Microsoft descobriu que um agente de ameaça rastreado como Storm-1811 abusando da ferramenta de gerenciamento de clientes Quick Assist para atingir usuários em ataques de ransomware.

Storm-1811 e os ataques de ransomware

De acordo com um relatório publicado em 15 de maio de 2024 pela Microsoft, Storm-1811 é um grupo cibercriminoso com motivação financeira conhecido por implantar o ransomware Black Basta. A cadeia de ataque envolve o uso de falsificação de identidade por meio de phishing de voz para enganar vítimas inocentes para que instalem ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega do QakBot , Cobalt Strike e, por fim, do ransomware Black Basta.

Os atores da ameaça usam indevidamente os recursos do Quick Assist para realizar ataques de engenharia social, fingindo, por exemplo, ser um contato confiável, como o suporte técnico da Microsoft ou um profissional de TI da empresa do usuário alvo, para obter acesso inicial a um dispositivo alvo.

Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seus dispositivos Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com a intenção de solucionar problemas técnicos em seus sistemas. Ele vem instalado por padrão em dispositivos que executam Windows 11.

ataques-de-ransomware-cibercriminosos-exploram-recurso-de-assistencia-rapida-da-microsoft

Os ataques

Para tornar os ataques mais convincentes, os agentes da ameaça lançam ataques de listagem de links, um tipo de ataque de e-mail bombista em que os endereços de e-mail visados são inscritos em vários serviços legítimos de subscrição de e-mail para inundar as suas caixas de entrada com conteúdo subscrito.

O adversário então se disfarça como a equipe de suporte de TI da empresa por meio de ligações telefônicas para o usuário alvo, com a intenção de oferecer assistência para remediar o problema de spam e persuadi-lo a conceder acesso ao seu dispositivo por meio do Quick Assist. “Uma vez que o usuário permite acesso e controle, o agente da ameaça executa um comando cURL com script para baixar uma série de arquivos em lote ou arquivos ZIP usados para entregar cargas maliciosas”, disse o fabricante do Windows.

O Storm-1811 aproveita seu acesso e realiza outras atividades práticas no teclado, como enumeração de domínio e movimentação lateral. O Storm-1811 então usa o PsExec para implantar o ransomware Black Basta em toda a rede.

A Microsoft disse que está analisando de perto o uso indevido do Quick Assist nesses ataques e que está trabalhando na incorporação de mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que podem facilitar a entrega de ransomware.

A campanha, que se acredita ter começado em meados de abril de 2024, teve como alvo uma variedade de indústrias e setores verticais, incluindo manufatura, construção, alimentos e bebidas e transporte, disse Rapid7, indicando a natureza oportunista dos ataques.

Recomenda-se que as organizações bloqueiem ou desinstalem o Quick Assist e ferramentas semelhantes de monitoramento e gerenciamento remoto se não estiverem em uso e treinem os funcionários para reconhecer golpes de suporte técnico.