L'outil d'assistance rapide Windows abusé pourrait aider les acteurs de la menace Black Basta Ransomware

L’utilisation d’outils d’accès à distance présente un double défi pour les entreprises, en particulier lorsqu’elles sont exploitées par des acteurs malveillants maîtrisant les tactiques sophistiquées d’ingénierie sociale. Récemment, Microsoft Threat Intelligence a souligné l'émergence d'une campagne de phishing Black Basta Ransomware orchestrée par un groupe à motivation financière identifié sous le nom de Storm-1811. Ce groupe utilise une approche d'ingénierie sociale, se faisant passer pour des entités de confiance comme le support Microsoft ou le personnel informatique interne, pour inciter les victimes à accorder un accès à distance via Quick Assist, une application Windows facilitant les connexions à distance.

Une fois la confiance établie et l’accès accordé, Storm-1811 procède au déploiement de divers logiciels malveillants, aboutissant finalement à la distribution du ransomware Black Basta. La méthode souligne la facilité avec laquelle les outils d’accès à distance légitimes peuvent être manipulés par des acteurs malveillants dotés de compétences approfondies en ingénierie sociale, contournant les mesures de sécurité traditionnelles. Ces tactiques avancées d’ingénierie sociale nécessitent une réponse proactive de la part des équipes de sécurité de l’entreprise, en mettant l’accent sur une vigilance accrue et une formation complète des employés.

Le mode opératoire de Storm-1811 implique une combinaison de vishing, de bombardements par courrier électronique et d'usurpation d'identité du personnel informatique pour tromper et compromettre les utilisateurs. Les assaillants inondent les victimes d'e-mails avant de lancer des appels de vishing, exploitant la confusion qui s'ensuit pour contraindre les victimes à accepter des demandes malveillantes d'assistance rapide. Ce bombardement orchestré sert à désorienter les victimes, ouvrant ainsi la voie à une manipulation réussie et au déploiement ultérieur de logiciels malveillants.

Les observations de Microsoft révèlent l'utilisation par Storm-1811 de divers logiciels malveillants, notamment Qakbot et Cobalt Strike, diffusés via des outils de surveillance à distance tels que ScreenConnect et NetSupport Manager. Une fois l'accès établi, les attaquants utilisent des commandes scriptées pour télécharger et exécuter des charges utiles malveillantes, perpétuant ainsi leur contrôle sur les systèmes compromis. De plus, Storm-1811 exploite des outils tels que le tunneling OpenSSH et PsExec pour maintenir la persistance et déployer le ransomware Black Basta sur les réseaux .

Pour atténuer de telles attaques, il est conseillé aux organisations de désinstaller les outils d'accès à distance lorsqu'ils ne sont pas utilisés et de mettre en œuvre des solutions de gestion des accès privilégiés avec une architecture zéro confiance. La formation régulière des employés est primordiale pour les sensibiliser aux tactiques d'ingénierie sociale et aux escroqueries par phishing, permettant ainsi au personnel d'identifier et de contrecarrer les menaces potentielles. Les solutions de messagerie avancées et la surveillance des événements renforcent davantage les défenses, permettant une détection et une atténuation rapides des activités malveillantes.

L’exploitation d’outils d’accès à distance grâce à une ingénierie sociale sophistiquée souligne l’évolution du paysage des cybermenaces. Relever ces défis nécessite une approche à multiples facettes englobant des défenses technologiques, la formation des employés et des mesures de sécurité proactives pour se prémunir contre toute exploitation malveillante.