ClickCease Attaque du ransomware Black Basta : Faille Microsoft Quick Assist

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Attaque du ransomware Black Basta : Faille Microsoft Quick Assist

par Wajahat Raja

28 mai 2024 - L'équipe d'experts de TuxCare

Des rapports récents affirment que l'équipe de Microsoft Threat Intelligence a déclaré qu'un groupe de cybercriminels, identifié sous le nom de Storm-1811, a exploité l'outil Quick Assist de Microsoft dans une série d'attaques d'ingénierie sociale. attaques d'ingénierie sociale. Ce groupe est connu pour avoir déployé le Black Basta ransomware attack. Le 15 mai 2024, Microsoft a publié des détails sur la façon dont ce groupe financièrement motivé utilise Quick Assist pour cibler les victimes.

 

Méthodologie de l'attaque du ransomware Black Basta


La stratégie d'attaque de Storm-1811 fait appel à l'usurpation d'identité et à l'hameçonnage vocal pour tromper les victimes et les inciter à installer des outils de surveillance et de gestion à distance (RMM). Une fois ces outils installés, les attaquants diffusent des logiciels malveillants tels que
Qakbot et Cobalt Strikece qui conduit au déploiement et à l'exécution du ransomware Black Basta ransomware attack.

Le groupe utilise Quick Assist en se faisant passer pour des contacts de confiance, tels que le support technique de Microsoft ou des professionnels de l'informatique de l'entreprise de la victime. Quick Assist, une application légitime de Microsoft, permet aux utilisateurs de partager leur appareil avec une autre personne à des fins de dépannage. Cet outil est préinstallé sur les appareils Windows 11, ce qui le rend facilement accessible à des fins d'exploitation.

 

Techniques d'ingénierie sociale


Pour rendre leurs attaques plus crédibles, les cybercriminels utilisent une tactique connue sous le nom d'attaques par liste de liens. Cette tactique consiste à inscrire les adresses électroniques cibles à de nombreux abonnements à des courriels légitimes, ce qui a pour effet de submerger la boîte de réception de divers contenus. Les attaquants se font ensuite passer pour l'équipe d'assistance informatique de l'entreprise, contactant la victime par téléphone et lui proposant de l'aider à résoudre le problème de spam. Ils persuadent la victime d'accorder un accès à distance via Quick Assist.

Une fois l'accès accordé, les attaquants exécutent une commande cURL scriptée pour télécharger des charges utiles malveillantes, souvent sous la forme de fichiers batch ou ZIP. Cet accès initial leur permet d'effectuer d'autres activités telles que l'énumération de domaines et le déplacement latéral au sein du réseau. Enfin, Storm-1811 utilise PsExec pour distribuer le ransomware Black Basta sur le réseau.

 

Réponse à la vulnérabilité de Microsoft Quick Assist


Microsoft s'attaque activement à l'utilisation abusive de Quick Assist dans ces attaques. Elle travaille à l'intégration de messages d'avertissement dans le logiciel afin d'alerter les utilisateurs sur les escroqueries potentielles en matière d'assistance technique qui pourraient conduire à des attaques par ransomware.


Décryptage de Black Basta Ransomware


La campagne, qui a débuté à la mi-avril 2024, a ciblé diverses industries, notamment l'industrie manufacturière, la construction, l'alimentation et les boissons, ainsi que les transports. Selon Rapid7, les attaques sont opportunistes et tirent parti de la faible barrière à l'entrée et de l'impact significatif pour réaliser des gains financiers. 

Robert Knapp, directeur principal des services de réponse aux incidents chez Rapid7, a souligné la menace persistante que représente le ransomware en raison de sa facilité d'exécution et de son impact considérable sur les victimes.


Caractéristiques du ransomware Black Basta


Microsoft décrit Black Basta comme une
"offre fermée de ransomware" plutôt qu'une ransomware-as-a-service (RaaS).. Cela signifie qu'il est distribué par un petit groupe d'acteurs de la menace qui s'appuient souvent sur d'autres cybercriminels pour l'accès initial, l'infrastructure et le développement de logiciels malveillants.

Depuis son apparition en avril 2022, Black Basta a généralement été déployé à la suite d'un accès obtenu par QakBot et d'autres logiciels malveillants, ce qui souligne l'importance de la prévention de la compromission initiale pour atténuer les menaces liées aux ransomwares.

 

Suppression des ransomwares


Mise en œuvre des
recommandations de Microsoft en matière de sécurité est essentielle pour protéger vos actifs numériques et atténuer efficacement les cybermenaces potentielles. Le cryptage des données joue un rôle essentiel dans la sécurisation des informations sensibles et la garantie de la confidentialité des données dans le paysage numérique actuel.

Il est conseillé aux entreprises de bloquer ou de désinstaller Quick Assist et les outils de gestion à distance similaires s'ils ne sont pas nécessaires. En outre, former les employés à reconnaître les escroqueries en matière d'assistance technique peut contribuer à prévenir de telles attaques. Il est essentiel de se concentrer sur la détection et l'atténuation des menaces avant le déploiement d'un ransomware pour réduire le risque global. 

id="conclusion"
Conclusion


En conclusion, l'exploitation de la fonction Quick Assist de Microsoft par le groupe Storm-1811 pour déployer l'attaque de ransomware
ransomware Black Basta met en évidence les défis permanents en matière de cybersécurité et l'importance d'employer des les meilleures pratiques en matière de cybersécurité. Assurer la la sécurité des outils d'accès à distance est essentielle pour protéger les informations sensibles et maintenir des mesures de cybersécurité solides au sein d'une organisation. En comprenant les tactiques utilisées et en prenant des mesures proactivesles organisations peuvent mieux se protéger contre ces menaces sophistiquées.

Les sources de cet article comprennent des articles dans The Hacker News et Security Week.

Résumé
Attaque du ransomware Black Basta : Faille Microsoft Quick Assist
Nom de l'article
Attaque du ransomware Black Basta : Faille Microsoft Quick Assist
Description
Découvrez comment l'attaque Black Basta Ransomware exploite Microsoft Quick Assist par le biais de l'ingénierie sociale. Restez informé, restez en sécurité !
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !