Storm-1811 abusa do Home windows Fast Help em ataques sofisticados de ransomware

LifeTechWebMay 16, 2024

0 6 minutes read

Hackers Cybersecurity Cyberattack Phishing

A Microsoft está investigando uma campanha em que cibercriminosos com motivação financeira abusam do recurso Home windows Fast Help para implantar o ransomware Black Basta nas redes das vítimas. O grupo de ameaças, identificado como Storm-1811, inicia seus ataques esmagando alvos com uma enxurrada de e-mails não solicitados, uma tática conhecida como e-mail bombing. Esta campanha está sob escrutínio pelo menos desde meados de abril de 2024.

Bombardeio de e-mail e táticas de phishing por voz

Os invasores começam inscrevendo o endereço de e-mail da vítima em vários serviços, fazendo com que suas caixas de entrada sejam inundadas com spam. Posteriormente, os agentes da ameaça se fazem passar pelo suporte técnico da Microsoft ou pela equipe de TI da empresa vítima, entrando em contato com os alvos por telefone para oferecer assistência na resolução do problema de spam. Durante essas chamadas de phishing de voz, os invasores convencem as vítimas a conceder-lhes acesso aos seus dispositivos Home windows por meio do controle remoto Fast Help e da ferramenta de compartilhamento de tela.

Desde meados de abril de 2024, a Microsoft Menace Intelligence tem observado o agente da ameaça Storm-1811 fazendo uso indevido da ferramenta de gerenciamento de clientes Fast Help para atingir usuários em ataques de engenharia social que levam ao ransomware Black Basta. https://t.co/PA5dW6alnQ

– Inteligência de ameaças da Microsoft (@MsftSecIntel) 15 de maio de 2024

Depois que o acesso é concedido, os invasores executam um comando cURL com script para baixar arquivos maliciosos em lote ou ZIP. De acordo com a Microsoft, esses arquivos geralmente levam à instalação do Qakbot, ferramentas de monitoramento e gerenciamento remoto (RMM), como ScreenConnect e NetSupport Supervisor, e o equipment de ferramentas de teste de penetração Cobalt Strike. Após a ligação, Storm-1811 conduz a enumeração de domínio e movimentação lateral dentro da rede da vítima, implantando o ransomware Black Basta usando a ferramenta Home windows PsExec.

A empresa de segurança cibernética Rapid7 também observou esses ataques, observando que os invasores usam scripts em lote para coletar as credenciais da vítima por meio de comandos do PowerShell. Essas credenciais são coletadas sob o pretexto de exigir um login para uma atualização e são imediatamente exfiltradas para o servidor dos invasores usando o Safe Copy Protocol (SCP). Em alguns casos, as credenciais são salvas em um arquivo para recuperação handbook.

Mitigação e recomendações

Para mitigar esses ataques de engenharia social, a Microsoft aconselha os defensores da rede a bloquear ou desinstalar o Fast Help e ferramentas RMM semelhantes se não estiverem em uso. Os funcionários devem ser treinados para reconhecer fraudes de suporte técnico, e as conexões só devem ser permitidas se iniciadas pelo contato do usuário com o suporte de TI ou com o Suporte da Microsoft. Quaisquer sessões suspeitas de Assistência Rápida devem ser encerradas imediatamente.

A Microsoft recomenda as seguintes práticas recomendadas para proteger usuários e organizações contra ataques e agentes de ameaças que usam indevidamente o Fast Help:

“Considere bloquear ou desinstalar o Fast Help e outras ferramentas de monitoramento e gerenciamento remoto se essas ferramentas não estiverem em uso em seu ambiente. Se sua organização utiliza outra ferramenta de suporte remoto, como Ajuda Remota, bloqueie ou remova o Fast Help como prática recomendada. A Ajuda Remota faz parte do Microsoft Intune Suite e fornece autenticação e controles de segurança para conexões de suporte técnico.
Eduque os usuários sobre como se protegerem contra golpes de suporte técnico. Os golpes de suporte técnico são um problema que afeta todo o setor, onde os golpistas usam táticas assustadoras para enganar os usuários e levá-los a serviços de suporte técnico desnecessários.
Permita que um auxiliar se conecte ao seu dispositivo usando o Fast Help apenas se você tiver iniciado a interação entrando em contato diretamente com o Suporte da Microsoft ou com a equipe de suporte de TI. Não forneça acesso a ninguém que afirme ter necessidade urgente de acessar seu dispositivo.
Se você suspeitar que a pessoa que está se conectando ao seu dispositivo está realizando atividades maliciosas, desconecte-se da sessão imediatamente e informe às autoridades locais e/ou a qualquer membro de TI relevante da sua organização.
Os usuários que foram afetados por um golpe de suporte técnico também podem usar o formulário de golpe de suporte técnico da Microsoft para denunciá-lo.“

O grupo de ransomware Black Basta surgiu como uma operação Ransomware-as-a-Service (RaaS) em abril de 2022, após a dissolução do grupo de crimes cibernéticos Conti. Desde então, as afiliadas da Black Basta têm como alvo inúmeras organizações de alto perfil.

Assistência rápida e suas vulnerabilidades

Fast Help é um aplicativo que permite ao usuário compartilhar seu dispositivo Home windows ou macOS com outra pessoa por meio de uma conexão remota. Isso permite que o usuário conectado se conecte remotamente ao dispositivo do usuário receptor e visualize sua exibição, faça anotações ou assuma o controle whole, normalmente para solução de problemas.

Além de proteger os clientes contra atividades maliciosas observadas, a Microsoft está investigando o uso do Fast Help nesses ataques e trabalhando para melhorar a transparência e a confiança entre ajudantes e compartilhadores, além de incorporar mensagens de aviso no Fast Help para alertar os usuários sobre possíveis fraudes de suporte técnico. .

O papel do Microsoft Defender

O Microsoft Defender para Endpoint detecta componentes de atividade originados de sessões de Assistência Rápida, bem como atividades subsequentes, e o Microsoft Defender Antivirus detecta os componentes de malware associados a essa atividade. O Fast Help é instalado por padrão em dispositivos que executam o Home windows 11. Além disso, os golpes de suporte técnico são um problema em todo o setor, onde os golpistas usam táticas de intimidação para induzir os usuários a serviços de suporte técnico desnecessários.

Ferramentas Qakbot e RMM

O Qakbot tem sido usado ao longo dos anos como um vetor de acesso remoto para entregar cargas maliciosas adicionais que levaram à implantação de ransomware. Nesta atividade recente, Qakbot foi usado para entregar um Cobalt Strike Beacon atribuído à Tempestade-1811. O ScreenConnect foi usado para estabelecer persistência e conduzir movimentos laterais dentro do ambiente comprometido. NetSupport Supervisor é uma ferramenta de acesso remoto usada por vários agentes de ameaças para manter o controle sobre os dispositivos comprometidos. Um invasor pode usar essa ferramenta para acessar remotamente o dispositivo, baixar e instalar malware adicional e iniciar comandos arbitrários.

Outras mitigações

A Microsoft recomenda as seguintes mitigações para reduzir o impacto desta ameaça:

“Eduque os usuários sobre a proteção de informações pessoais e comerciais nas mídias sociais, filtrando comunicações não solicitadas, identificando hyperlinks de atração em e-mails de phishing e relatando tentativas de reconhecimento e outras atividades suspeitas.
Eduque os usuários sobre a prevenção de infecções por malware, como ignorar ou excluir e-mails ou anexos não solicitados e inesperados enviados por meio de aplicativos de mensagens instantâneas ou redes sociais, bem como chamadas telefônicas suspeitas.
Invista em soluções antiphishing avançadas que monitoram e-mails recebidos e websites visitados. O Microsoft Defender para Workplace 365 reúne gerenciamento de incidentes e alertas em e-mail, dispositivos e identidades, centralizando investigações para ameaças baseadas em e-mail.
Ative a proteção fornecida pela nuvem no Microsoft Defender Antivirus ou equivalente para o seu produto antivírus para cobrir ferramentas e técnicas de invasores em rápida evolução. As proteções de aprendizado de máquina baseadas em nuvem bloqueiam uma grande maioria de variantes novas e desconhecidas.
Ative a proteção de rede para impedir que aplicativos ou usuários acessem domínios maliciosos e outros conteúdos maliciosos na Web.
Ative recursos de proteção contra adulteração para evitar que invasores interrompam os serviços de segurança.
Habilite a investigação e a correção em modo totalmente automatizado para permitir que o Defender for Endpoint tome medidas imediatas em alertas para resolver violações, reduzindo significativamente o quantity de alertas.
Consulte a visão geral do ransomware operado por humanos da Microsoft para obter recomendações gerais de proteção contra ataques de ransomware.”

Detecção e alertas

Os clientes do Microsoft Defender XDR podem ativar regras de redução de superfície de ataque para evitar técnicas de ataque comuns:

Bloqueie a execução de arquivos executáveis, a menos que eles atendam a um critério de prevalência, idade ou lista confiável
Bloquear a execução de scripts potencialmente ofuscados
Bloquear criações de processos originadas de comandos PSExec e WMI
Use proteção avançada contra ransomware