Tech

Cibercriminosos explorando o recurso de assistência rápida da Microsoft em ataques de ransomware

Photo of LifeTechWeb LifeTechWebMay 16, 2024
0 3 minutes read
ms
Ataques de ransomware

A equipe do Microsoft Risk Intelligence disse ter observado uma ameaça que rastreia sob o nome Tempestade-1811 abusar da ferramenta de gerenciamento de clientes Fast Help para atingir usuários em ataques de engenharia social.

“Storm-1811 é um grupo cibercriminoso com motivação financeira conhecido por implantar o ransomware Black Basta”, disse a empresa em um relatório publicado em 15 de maio de 2024.

A cadeia de ataque envolve o uso de falsificação de identidade por meio de phishing de voz para enganar vítimas inocentes para que instalem ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega do QakBot, Cobalt Strike e, por fim, do ransomware Black Basta.

“Os atores da ameaça usam indevidamente os recursos do Fast Help para realizar ataques de engenharia social, fingindo, por exemplo, ser um contato confiável, como o suporte técnico da Microsoft ou um profissional de TI da empresa do usuário alvo, para obter acesso inicial a um dispositivo alvo”, disse a gigante da tecnologia. .

Cíber segurança

Fast Help é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seus dispositivos Home windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com a intenção de solucionar problemas técnicos em seus sistemas. Ele vem instalado por padrão em dispositivos que executam Home windows 11.

Para tornar os ataques mais convincentes, os agentes da ameaça lançam ataques de listagem de hyperlinks, um tipo de ataque de e-mail bombista em que os endereços de e-mail visados ​​são inscritos em vários serviços legítimos de subscrição de e-mail para inundar as suas caixas de entrada com conteúdo subscrito.

O adversário então se disfarça como a equipe de suporte de TI da empresa por meio de ligações telefônicas para o usuário alvo, com a intenção de oferecer assistência para remediar o problema de spam e conceder acesso ao seu dispositivo por meio do Fast Help.

“Uma vez que o usuário permite acesso e controle, o agente da ameaça executa um comando cURL com script para baixar uma série de arquivos em lote ou arquivos ZIP usados ​​para entregar cargas maliciosas”, disse o fabricante do Home windows.

“O Storm-1811 aproveita seu acesso e realiza outras atividades práticas no teclado, como enumeração de domínio e movimentação lateral. O Storm-1811 então usa o PsExec para implantar o ransomware Black Basta em toda a rede.”

A Microsoft disse que está analisando de perto o uso indevido do Fast Help nesses ataques e que está trabalhando na incorporação de mensagens de aviso no software program para notificar os usuários sobre possíveis golpes de suporte técnico que podem facilitar a entrega de ransomware.

A campanha, que se acredita ter começado em meados de abril de 2024, teve como alvo uma variedade de indústrias e setores, incluindo manufatura, construção, alimentos e bebidas e transporte, disse Rapid7, indicando a natureza oportunista dos ataques.

“A baixa barreira de entrada para a realização desses ataques, juntamente com os impactos significativos que esses ataques têm sobre suas vítimas, continuam a fazer do ransomware um meio muito eficaz para acabar com os agentes de ameaças que buscam um dia de pagamento”, Robert Knapp, gerente sênior de resposta a incidentes. serviços no Rapid7, disse em comunicado compartilhado com The Hacker Information.

Cíber segurança

A Microsoft também descreveu o Black Basta como uma “oferta fechada de ransomware”, em oposição a uma operação de ransomware como serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.

Ele é “distribuído por um pequeno número de agentes de ameaças que normalmente dependem de outros agentes de ameaças para acesso inicial, infraestrutura maliciosa e desenvolvimento de malware”, disse a empresa.

“Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os invasores do Black Basta implantaram o ransomware após receberem acesso do QakBot e de outros distribuidores de malware, destacando a necessidade das organizações se concentrarem nos estágios de ataque antes da implantação do ransomware para reduzir a ameaça.”

Recomenda-se que as organizações bloqueiem ou desinstalem o Fast Help e ferramentas semelhantes de monitoramento e gerenciamento remoto se não estiverem em uso e treinem os funcionários para reconhecer golpes de suporte técnico.

Tags
Photo of LifeTechWeb LifeTechWebMay 16, 2024
0 3 minutes read
Photo of LifeTechWeb

LifeTechWeb

Related Articles

ransomware keys

FBI distribui 7.000 chaves de descriptografia do LockBit Ransomware para ajudar as vítimas

June 7, 2024
AirPods Pro 3

Apple AirPods Professional 3 para obter novo design (vídeo)

April 9, 2024
NVIDIA AI Tools Software and hardware

NVIDIA revela as ferramentas, software e hardware de IA

March 7, 2024
Field Programmable Gate Array

Matriz de portas programáveis ​​em campo TinyBeast (FPGA)

May 8, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button