Het Microsoft Threat Intelligence-team zei dat het een bedreiging heeft waargenomen die het onder de naam volgt Storm-1811 misbruik maken van de clientbeheertool Quick Assist om gebruikers te targeten bij social engineering-aanvallen.
“Storm-1811 is een financieel gemotiveerde cybercriminele groep waarvan bekend is dat ze de Black Basta-ransomware inzetten”, aldus het bedrijf in een rapport dat op 15 mei 2024 werd gepubliceerd.
De aanvalsketen omvat het gebruik van nabootsing van identiteit door middel van voice phishing om nietsvermoedende slachtoffers te misleiden om tools voor monitoring en beheer op afstand (RMM) te installeren, gevolgd door de levering van QakBot, Cobalt Strike en uiteindelijk de Black Basta-ransomware.
“Dreigingsactoren misbruiken Quick Assist-functies om social engineering-aanvallen uit te voeren door zich bijvoorbeeld voor te doen als een vertrouwd contact zoals de technische ondersteuning van Microsoft of een IT-professional van het bedrijf van de beoogde gebruiker om initiële toegang te krijgen tot een doelapparaat”, zei de technologiegigant. .
Quick Assist is een legitieme applicatie van Microsoft waarmee gebruikers hun Windows- of macOS-apparaat via een externe verbinding met iemand anders kunnen delen, voornamelijk met de bedoeling technische problemen op hun systemen op te lossen. Het wordt standaard geïnstalleerd op apparaten met Windows 11.
Om de aanvallen overtuigender te maken, lanceren de bedreigingsactoren linkslijstaanvallen, een soort e-mailbombardement waarbij de beoogde e-mailadressen worden aangemeld bij verschillende legitieme e-mailabonnementsdiensten om hun inbox te overspoelen met geabonneerde inhoud.
De tegenstander doet zich vervolgens voor als het IT-ondersteuningsteam van het bedrijf door middel van telefoontjes naar de beoogde gebruiker, waarbij hij beweert hulp te bieden bij het oplossen van het spamprobleem en hen via Quick Assist toegang tot hun apparaat te verlenen.
“Zodra de gebruiker toegang en controle toestaat, voert de bedreigingsactor een gescripte cURL-opdracht uit om een reeks batchbestanden of ZIP-bestanden te downloaden die worden gebruikt om kwaadaardige ladingen af te leveren”, aldus de Windows-maker.
“Storm-1811 maakt gebruik van hun toegang en voert verdere hands-on-toetsenbordactiviteiten uit, zoals domeinopsomming en laterale verplaatsing. Storm-1811 gebruikt vervolgens PsExec om Black Basta-ransomware in het hele netwerk te implementeren.”
Microsoft zei dat het het misbruik van Quick Assist bij deze aanvallen nauwkeurig onderzoekt en dat het werkt aan het opnemen van waarschuwingsberichten in de software om gebruikers op de hoogte te stellen van mogelijke oplichting met technische ondersteuning die de levering van ransomware zou kunnen vergemakkelijken.
De campagne, die vermoedelijk medio april 2024 is begonnen, heeft zich gericht op een verscheidenheid aan industrieën en branches, waaronder de productie, de bouw, de voedingsmiddelen- en drankenindustrie en de transportsector, aldus Rapid7, wat wijst op het opportunistische karakter van de aanvallen.
“De lage drempel om deze aanvallen uit te voeren, in combinatie met de aanzienlijke gevolgen die deze aanvallen hebben voor hun slachtoffers, maken ransomware nog steeds tot een zeer effectief middel om een einde te maken aan bedreigingsactoren die op zoek zijn naar geld”, aldus Robert Knapp, senior manager incidentrespons. diensten bij Rapid7, zei in een verklaring gedeeld met The Hacker News.
Microsoft heeft Black Basta ook omschreven als een ‘gesloten ransomware-aanbod’, in tegenstelling tot een ransomware-as-a-service (RaaS)-operatie die bestaat uit een netwerk van kernontwikkelaars, aangesloten bedrijven en initiële toegangsmakelaars die ransomware- en afpersingsaanvallen uitvoeren.
Het wordt “gedistribueerd door een klein aantal bedreigingsactoren die doorgaans afhankelijk zijn van andere bedreigingsactoren voor initiële toegang, kwaadaardige infrastructuur en de ontwikkeling van malware”, aldus het bedrijf.
“Sinds Black Basta voor het eerst verscheen in april 2022 hebben Black Basta-aanvallers de ransomware ingezet nadat ze toegang hadden gekregen van QakBot en andere malwaredistributeurs. Dit benadrukt de noodzaak voor organisaties om zich te concentreren op aanvalsfasen voorafgaand aan de implementatie van ransomware om de dreiging te verminderen.”
Organisaties wordt aangeraden om Quick Assist en soortgelijke tools voor monitoring en beheer op afstand te blokkeren of te verwijderen als ze niet worden gebruikt, en werknemers te trainen in het herkennen van oplichting met technische ondersteuning.