La herramienta de asistencia rápida de Windows abusada podría ayudar a los actores de amenazas de ransomware Black Basta
La utilización de herramientas de acceso remoto presenta un doble desafío para las empresas, particularmente cuando las explotan actores de amenazas expertos en tácticas sofisticadas de ingeniería social. Recientemente, Microsoft Threat Intelligence destacó el surgimiento de una campaña de phishing Black Basta Ransomware orquestada por un grupo con motivación financiera identificado como Storm-1811. Este grupo emplea un enfoque de ingeniería social, haciéndose pasar por entidades confiables como soporte de Microsoft o personal interno de TI, para convencer a las víctimas de que otorguen acceso remoto a través de Quick Assist, una aplicación de Windows que facilita conexiones remotas.
Una vez que se establece la confianza y se concede el acceso, Storm-1811 procede a implementar varios programas maliciosos, lo que finalmente culmina con la distribución del ransomware Black Basta. El método subraya la facilidad con la que las herramientas legítimas de acceso remoto pueden ser manipuladas por actores de amenazas con habilidades de ingeniería social, evitando las medidas de seguridad tradicionales. Estas tácticas avanzadas de ingeniería social requieren una respuesta proactiva por parte de los equipos de seguridad empresarial, haciendo hincapié en una mayor vigilancia y una formación integral de los empleados.
El modus operandi de Storm-1811 implica una combinación de vishing, bombardeo de correos electrónicos y suplantación de personal de TI para engañar y comprometer a los usuarios. Los agresores inundan a las víctimas con correos electrónicos antes de iniciar llamadas de vishing, explotando la confusión resultante para obligar a las víctimas a aceptar solicitudes maliciosas de Quick Assist. Este bombardeo orquestado sirve para desorientar a las víctimas, allanando el camino para una manipulación exitosa y la posterior implementación de malware.
Las observaciones de Microsoft revelan el uso de varios programas maliciosos por parte de Storm-1811, incluidos Qakbot y Cobalt Strike, distribuidos a través de herramientas de monitoreo remoto como ScreenConnect y NetSupport Manager. Una vez establecido el acceso, los atacantes emplean comandos programados para descargar y ejecutar cargas útiles maliciosas, perpetuando su control sobre los sistemas comprometidos. Además, Storm-1811 aprovecha herramientas como el túnel OpenSSH y PsExec para mantener la persistencia e implementar el ransomware Black Basta en las redes .
Para mitigar tales ataques, se recomienda a las organizaciones que desinstalen las herramientas de acceso remoto cuando no estén en uso e implementen soluciones de administración de acceso privilegiado con una arquitectura de confianza cero. La capacitación periódica de los empleados es fundamental para crear conciencia sobre las tácticas de ingeniería social y las estafas de phishing, lo que permite al personal identificar y frustrar amenazas potenciales. Las soluciones avanzadas de correo electrónico y la supervisión de eventos fortalecen aún más las defensas, lo que permite la detección y mitigación rápidas de actividades maliciosas.
La explotación de herramientas de acceso remoto mediante ingeniería social sofisticada subraya el panorama cambiante de las amenazas cibernéticas. Abordar estos desafíos requiere un enfoque multifacético que abarque defensas tecnológicas, educación de los empleados y medidas de seguridad proactivas para protegerse contra la explotación maliciosa.