El equipo de inteligencia de amenazas de Microsoft ha observado a un grupo cibercriminal conocido como Storm-1811 abusando de la herramienta de gestión de clientes Quick Assist para atacar a los usuarios en ataques de ingeniería social. Según Microsoft, Storm-1811 es conocido por desplegar el ransomware Black Basta con motivaciones financieras. El informe se publicó el 15 de mayo de 2024.
El grupo utiliza la suplantación mediante phishing de voz para engañar a las víctimas e instalar herramientas de monitoreo y gestión remota (RMM), seguido por la entrega de QakBot, Cobalt Strike y, finalmente, el ransomware Black Basta.
Microsoft advierte que los actores de amenazas se aprovechan de las características de Quick Assist para realizar ataques de ingeniería social, aparentando ser un contacto confiable como soporte técnico de Microsoft o un profesional de TI de la empresa del usuario objetivo para obtener acceso inicial al dispositivo.
Quick Assist es una aplicación legítima de Microsoft que permite a los usuarios compartir su dispositivo Windows o macOS con otra persona a través de una conexión remota, principalmente para solucionar problemas técnicos en sus sistemas. Viene instalada de forma predeterminada en dispositivos con Windows 11.
Los atacantes lanzan ataques de lista de enlaces, un tipo de ataque de bombardeo de correos electrónicos, para hacer los ataques más convincentes. Luego, se hacen pasar por el equipo de soporte de TI de la empresa a través de llamadas telefónicas al usuario objetivo para persuadirlos a otorgar acceso a su dispositivo a través de Quick Assist.
Una vez que el usuario permite el acceso y el control, el actor de amenazas ejecuta un comando cURL scriptado para descargar una serie de archivos por lotes o archivos ZIP utilizados para entregar cargas útiles maliciosas. Posteriormente, Storm-1811 despliega el ransomware Black Basta en toda la red.
Microsoft está trabajando en la incorporación de mensajes de advertencia en el software de Quick Assist para notificar a los usuarios sobre posibles estafas de soporte técnico que podrían facilitar la entrega de ransomware.
La campaña, que se cree que ha comenzado a mediados de abril de 2024, ha apuntado a una variedad de industrias y verticales, según Rapid7, lo que indica la naturaleza oportunista de los ataques.
Según Robert Knapp, director sénior de servicios de respuesta a incidentes en Rapid7, el bajo costo de llevar a cabo estos ataques, junto con el impacto significativo en sus víctimas, sigue haciendo del ransomware un medio muy efectivo para los actores de amenazas en busca de una recompensa.
Microsoft describe a Black Basta como una «oferta de ransomware cerrada» en oposición a una operación de ransomware como servicio (RaaS). Se «distribuye por un pequeño número de actores de amenazas que suelen depender de otros para el acceso inicial, la infraestructura maliciosa y el desarrollo de malware», dijo la empresa.
Se recomienda a las organizaciones que bloqueen o desinstalen Quick Assist y herramientas similares de monitoreo y gestión remota si no están en uso, y que capaciten a los empleados para reconocer estafas de soporte técnico.
Vía The Hacker News
