Des cybercriminels motivés financièrement abusent de la fonctionnalité d’assistance rapide de Windows dans des attaques d’ingénierie sociale pour déployer des charges utiles de ransomware Black Basta sur les réseaux des victimes.
Microsoft enquête sur cette campagne depuis au moins la mi-avril 2024 et, comme ils l’ont observé, le groupe de menaces (suivi sous le nom de Storm-1811) a commencé ses attaques en bombardant la cible par e-mail après avoir abonné leurs adresses à divers services d’abonnement par e-mail.
Une fois que leurs boîtes aux lettres sont inondées de messages non sollicités, les auteurs de la menace les appellent tout en se faisant passer pour un support technique Microsoft ou le personnel informatique ou d’assistance de l’entreprise attaquée pour les aider à résoudre les problèmes de spam.
Au cours de cette attaque de phishing vocal, les attaquants incitent les victimes à leur accorder l’accès à leurs appareils Windows en lançant la télécommande intégrée Quick Assist et l’outil de partage d’écran.
« Une fois que l’utilisateur autorise l’accès et le contrôle, l’auteur de la menace exécute une commande cURL scriptée pour télécharger une série de fichiers batch ou de fichiers ZIP utilisés pour fournir des charges utiles malveillantes », a déclaré Microsoft.
« Dans plusieurs cas, Microsoft Threat Intelligence a identifié une telle activité conduisant au téléchargement de Qakbot, d’outils RMM tels que ScreenConnect et NetSupport Manager, et Cobalt Strike. »
Après avoir installé ses outils malveillants et terminé l’appel téléphonique, Storm-1811 effectue l’énumération de domaine, se déplace latéralement sur le réseau de la victime et déploie le ransomware Black Basta à l’aide de l’outil de remplacement telnet Windows PsExec.
La société de cybersécurité Rapid7, qui a également repéré les attaques, a déclaré que les acteurs malveillants utiliseraient « un script batch pour récupérer les informations d’identification de la victime à partir de la ligne de commande à l’aide de PowerShell. »
« Les informations d’identification sont rassemblées dans le faux contexte de la » mise à jourexigeant l’utilisateur de se connecter. Dans la plupart des variantes de script batch observées, les informations d’identification sont immédiatement exfiltrées vers le serveur de l’auteur de la menace via une commande de copie sécurisée (SCP) », a ajouté Rapid7.
« Dans au moins une autre variante de script observée, les informations d’identification sont enregistrées dans une archive et doivent être récupérées manuellement. »
Pour bloquer ces attaques d’ingénierie sociale, Microsoft conseille aux défenseurs du réseau de bloquer ou de désinstaller Quick Assist et des outils de surveillance et de gestion à distance similaires s’ils ne sont pas utilisés et de former les employés à reconnaître les escroqueries au support technique.
Les personnes ciblées par ces attaques ne doivent autoriser d’autres personnes à se connecter à leur appareil que si elles ont contacté leur personnel de support informatique ou le support Microsoft et déconnecter immédiatement toutes les sessions d’assistance rapide si elles soupçonnent une intention malveillante.
L’opération ransomware Black Basta
Après la fermeture du groupe de cybercriminalité Conti il y a deux ans à la suite d’une série de violations de données embarrassantes, il s’est scindé en plusieurs factions, dont l’une serait Black Basta.
Black Basta est apparu comme une opération de Ransomware en tant que service (RaaS) en avril 2022. Depuis lors, ses affiliés ont violé de nombreuses victimes de premier plan, notamment l’entrepreneur allemand de la défense Rheinmetall, la société britannique d’externalisation technologique Capita, la division européenne de Hyundai, la Bibliothèque publique de Toronto, l’American Dental Association, la société d’automatisation industrielle et l’entrepreneur gouvernemental ABB, Sobeys, Knauf et Pages Jaunes Canada.
Plus récemment, Black Basta a été lié à une attaque de ransomware qui a frappé le géant américain de la santé Ascension, le forçant à détourner les ambulances vers des installations non affectées.
Comme l’ont révélé la CISA et le FBI dans un avis conjoint la semaine dernière, les affiliés du ransomware Black Basta ont violé plus de 500 organisations entre avril 2022 et mai 2024, cryptant et volant des données d’au moins 12 des 16 secteurs d’infrastructures critiques.
Santé-L’ISAC (Centre de Partage et d’Analyse de l’information) a également averti dans un bulletin sur les menaces que le gang de ransomwares « a récemment accéléré les attaques contre le secteur de la santé. »
Selon la société de cybersécurité Elliptic et la société d’assurance cybernétique Corvus Insurance research, Black Basta a collecté au moins 100 millions de dollars de rançons auprès de plus de 90 victimes jusqu’en novembre 2023.