網絡犯罪分子通過濫用Windows快速輔助功能找到了一個新的勒索軟件攻擊矢量。這些以經濟動機的攻擊者(稱為Storm-1811)使用社會工程策略在受害者的網絡上部署黑色巴斯塔勒索軟件。
這是他們做到這一點以及您可以採取什麼措施來保護自己。
Storm-1811的策略:電子郵件轟炸和模仿
攻擊通常從電子郵件轟炸活動開始。網絡犯罪分子將其目標命名為眾多電子郵件服務,並用垃圾郵件淹沒了收件箱。
在這種混亂之中,他們模仿了Microsoft技術支持或目標公司的IT員工,並致電受害者,以幫助解決垃圾郵件問題。
利用Windows快速協助
在這些語音網絡釣魚(Vishing)呼叫中,攻擊者說服受害者使用Windows快速輔助(用於遠程控制和屏幕共享的內置工具)賦予對計算機的遠程訪問。
“在某些情況下,Microsoft威脅情報確定了這種活動,導致下載了Qakbot,ScreenConnect和NetSupport Manager等RMM工具以及Cobalt Strike,“微軟說。
授予訪問後,攻擊者將運行腳本捲曲命令下載惡意批處理或zip文件。易怒的計算機。
黑色巴斯塔勒索軟件的部署
建立控制後,Storm-1811安裝了各種惡意工具。他們使用Windows PSEXEC工具在網絡上進行域枚舉和橫向移動。最終,他們部署了黑色巴斯塔勒索軟件,加密關鍵數據並要求贖金。
資格收穫
網絡安全公司Rapid7觀察到攻擊者使用批處理腳本通過PowerShell收集受害者證書。這些憑據通常是以更新的幌子收集的,需要用戶登錄。然後,通過安全複製協議(SCP)將被盜的憑據刪除到攻擊者的服務器上。
預防措施和建議
阻止快速輔助
微軟建議網絡防御者(如果不是必需的,則可以阻止或卸載快速輔助工具和類似的遠程管理工具。這可以防止攻擊者利用這些工具來獲得未經授權的訪問。
員工培訓
培訓員工認識到技術支持騙局至關重要。員工應謹慎對待未經請求的幫助報價,並且只有在與IT支持或Microsoft支持的聯繫開始時,應允許遠程訪問。任何可疑的快速輔助課程都應立即斷開連接。
起源和備受矚目的攻擊
黑色巴斯塔(Black Basta)於2022年4月作為勒索軟件(RAAS)運營(RAAS)運營出現,可能是已故的Conti Cybercrime Group的派系。此後,它針對眾多備受矚目的組織,包括德國國防承包商Rheinmetall,英國科技公司Capita,現代歐洲部門和美國牙科協會。
對關鍵基礎設施的影響
根據CISA和聯邦調查局的說法,Black Basta分支機構違反了500多個組織,影響了16個關鍵基礎設施部門中的12個。勒索軟件幫派加速了對醫療保健部門的攻擊,迫使一些設施,例如美國醫療保健巨頭升天,將救護車轉移到了不受影響的地方。
財務影響
網絡安全公司的研究Elliptic和Corvus Insurance表明,截至2023年11月,Black Basta從90多名受害者那裡收取了至少1億美元的贖金付款。這強調了該贖金軟件團伙的財務動機和重大威脅。
網絡犯罪分子對Windows快速協助的濫用強調了需要更有效的網絡安全實踐。通過了解這些攻擊向量並實施預防措施,組織可以更好地保護自己免受勒索軟件攻擊,例如黑色巴斯塔(Black Basta)進行的違規攻擊。
同時,科技時報報導說美國打算工資心理戰 反對勒索軟件幫派通過將偏執狂打入他們。
