Se ha observado que los piratas informáticos combinan spam, estafas clásicas de soporte técnico de TI y la herramienta integrada de control remoto y uso compartido de pantalla de Windows, Quick Assist, para difundir Black Basta. Secuestro de datos alternativa.
Informes de ambos microsoftLos investigadores de ciberseguridad Rapid7 explicaron cómo el ataque también es bastante innovador y no es algo que se vea a menudo en el campo del cibercrimen.
Antes del ataque real, los actores de amenazas (identificados por Microsoft como Storm-1811) necesitan obtener dos cosas: la dirección de correo electrónico de la víctima y un número de teléfono.
Extiende la alfombra negra
Luego, los atacantes registrarán a la víctima en una gran variedad de servicios de suscripción de correo electrónico. Como resultado, la bandeja de entrada de la víctima se llenará de boletines, notificaciones por correo electrónico y mensajes similares no solicitados.
Luego se comunicarán con ellos por teléfono, haciéndose pasar por un técnico de TI de Microsoft o por el servicio de asistencia de TI de la empresa para la que trabaja la víctima. Se ofrecerán a ayudar a resolver el problema y le pedirán a la víctima que le dé acceso a su dispositivo Windows mediante asistencia rápida. Una vez que las víctimas otorgan acceso, el juego prácticamente termina:
“Una vez que el usuario permite el acceso y el control, el actor de la amenaza ejecuta un comando cURL escrito para descargar una serie de archivos por lotes o archivos ZIP utilizados para entregar cargas útiles maliciosas”, dijo Microsoft. “En varios casos, Microsoft Threat Intelligence ha identificado dicha actividad que conduce a la descarga de herramientas Qakbot y RMM como ScreenConnect, NetSupport Manager y Cobalt Strike”.
Estas herramientas ayudan a los atacantes a moverse horizontalmente a través de la red objetivo, mapearla y, en última instancia, implementar la variante de ransomware Black Basta.
Además de implementar Black Basta, Rapid7 agregó que los atacantes también pueden robar tantas credenciales de inicio de sesión como sea posible de la víctima.
“Las credenciales se recopilan dentro del contexto falso de una 'actualización' que requiere que el usuario inicie sesión. En la mayoría de las variaciones de los scripts por lotes observados, las credenciales se envían inmediatamente al servidor del actor de la amenaza a través del comando Copia segura (SCP)”. dijo. Investigadores de Rapid7.
“En al menos otra variante de los scripts observados, las credenciales se archivan y deben recuperarse manualmente”.
a través de pitidocomputadora