Hackers κάνουν κατάχρηση της δυνατότητας Quick Assist των Windows, στα πλαίσια social engineering επιθέσεων για τη διανομή του ransomware Black Basta.
Η Microsoft ερευνά αυτήν την καμπάνια από τα μέσα Απριλίου 2024 και παρατήρησε ότι οι επιτιθέμενοι, που παρακολουθούνται ως Storm-1811, ξεκίνησαν τις επιθέσεις στέλνοντας πολλά emails στους στόχους, μετά την εγγραφή των διευθύνσεών τους σε διάφορες συνδρομητικές υπηρεσίες email.
Μόλις τα mailboxes πλημμυρίσουν από ανεπιθύμητα μηνύματα, οι φορείς απειλών καλούν τα θύματα στο τηλέφωνο και υποδύονται την τεχνική υποστήριξη της Microsoft ή το προσωπικό πληροφορικής της εταιρείας που δέχεται επίθεση, για να βοηθήσουν στην αποκατάσταση των προβλημάτων με τα email.
Δείτε επίσης: Black Basta και Bl00dy ransomware στοχεύουν το ScreenConnect
Κατά τη διάρκεια αυτού του βήματος, οι εισβολείς εξαπατούν τα θύματα για να τους παραχωρήσουν πρόσβαση στις συσκευές Windows, εκκινώντας το ενσωματωμένο εργαλείο κοινής χρήσης οθόνης και απομακρυσμένης διαχείρισης Quick Assist.
“Μόλις ο χρήστης επιτρέψει την πρόσβαση και τον έλεγχο, ο επιτιθέμενος εκτελεί μια εντολή cURL για λήψη μιας σειράς batch files ή αρχείων ZIP που χρησιμοποιούνται για την παράδοση κακόβουλων payloads“, δήλωσε η Microsoft.
Σύμφωνα με τους αναλυτές της Microsoft, κάποια από τα κακόβουλα προγράμματα που ελήφθησαν ήταν το Qakbot και εργαλεία RMM όπως το ScreenConnect, το NetSupport Manager και το Cobalt Strike.
Μετά από αυτά τα βήματα, οι hackers εξαπλώνονται στο δίκτυο του θύματος και αναπτύσσουν το Black Basta ransomware, χρησιμοποιώντας το Windows PsExec telnet-replacement tool.
Η εταιρεία κυβερνοασφάλειας Rapid7, η οποία επίσης παρακολουθεί τις επιθέσεις, λέει ότι οι επιτιθέμενοι χρησιμοποιούν “ένα batch script για να συλλέξουν τα διαπιστευτήρια του θύματος από τη γραμμή εντολών χρησιμοποιώντας PowerShell“.
Δείτε επίσης: Hyundai Motor Europe: Θύμα της ransomware συμμορίας Black Basta;
Για τον αποκλεισμό αυτών των επιθέσεων, η Microsoft συμβουλεύει τους υπερασπιστές δικτύου να αποκλείσουν ή να απεγκαταστήσουν το Quick Assist και παρόμοια εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης, εάν δεν χρησιμοποιούνται. Επίσης, το προσωπικό των εταιρειών πρέπει να εκπαιδευτεί ώστε να αναγνωρίζει κακόβουλα emails και απάτες τεχνικής υποστήριξης.
Black Basta ransomware
Το Black Basta ransomware εμφανίστηκε ως επιχείρηση Ransomware-as-a-Service (RaaS) τον Απρίλιο του 2022. Έκτοτε, οι θυγατρικές του έχουν παραβιάσει πολλές μεγάλες εταιρείες.
Όπως αποκάλυψαν η CISA και το FBI την περασμένη εβδομάδα, οι θυγατρικές του ransomware Black Basta παραβίασαν περισσότερους από 500 οργανισμούς μεταξύ Απριλίου 2022 και Μαΐου 2024, κρυπτογραφώντας και κλέβοντας δεδομένα από κρίσιμες υποδομές.
Προστασία από ransomware
Μία από τις καλύτερες τεχνικές προστασίας από το ransomware είναι η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενημερωμένοι για τους τρόπους με τους οποίους το ransomware μπορεί να εισέλθει σε ένα σύστημα, όπως τα phishing emails. Θα πρέπει να είναι σε θέση να αναγνωρίσουν τέτοιες απειλές.
Η χρήση αξιόπιστου λογισμικού antivirus είναι επίσης ζωτικής σημασίας. Το λογισμικό αυτό μπορεί να αναγνωρίσει και να απομακρύνει το ransomware πριν αυτό μπορέσει να προκαλέσει ζημιά.
Δείτε επίσης: Southern Water – παραβίαση δεδομένων: Η ransomware συμμορία Black Basta διέρρευσε δεδομένα
Το τακτικό backup των δεδομένων είναι μια άλλη σημαντική τεχνική προστασίας. Σε περίπτωση που το σύστημα πέσει θύμα ransomware, η αποκατάσταση των δεδομένων από ένα backup μπορεί να είναι η μόνη λύση.
Η χρήση ενημερωμένων εκδόσεων λογισμικού και λειτουργικών συστημάτων είναι επίσης κρίσιμη. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τις ευπάθειες των παλαιών εκδόσεων για να εγκαταστήσουν ransomware (π.χ. Black Basta).
Τέλος, η χρήση εργαλείων προστασίας δικτύου, όπως τα firewalls και τα συστήματα ανίχνευσης εισβολών, μπορεί να βοηθήσει στην πρόληψη των επιθέσεων ransomware.
Πηγή: www.bleepingcomputer.com