网络犯罪分子通过滥用 Windows 快速协助功能找到了勒索软件攻击的新载体。这些出于经济动机的攻击者(称为 Storm-1811)利用社会工程策略在受害者的网络上部署 Black Basta 勒索软件。
以下是他们的做法以及您可以采取哪些措施来保护自己。
Storm-1811 的策略:电子邮件轰炸和冒充
这些攻击通常从电子邮件轰炸活动开始。网络犯罪分子向他们的目标订阅大量电子邮件服务,使他们的收件箱充满垃圾邮件。
在这种混乱中,他们冒充 Microsoft 技术支持人员或目标公司的 IT 员工,给受害者打电话,主动提出帮助解决垃圾邮件问题。
在这些语音网络钓鱼(钓鱼)通话中,攻击者说服受害者使用 Windows Quick Assist(一种用于远程控制和屏幕共享的内置工具)授予对其计算机的远程访问权限。
“在一些情况下,微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike,”微软表示。
一旦获得访问权限,攻击者就会运行脚本化的 cURL 命令来下载恶意批处理或 ZIP 文件。电脑发出嘟嘟声。
Black Basta 勒索软件的部署
建立控制权后,Storm-1811 会安装各种恶意工具。他们使用 Windows PsExec 工具在网络上执行域枚举和横向移动。最终,他们部署了 Black Basta 勒索软件,加密关键数据并索要赎金。
凭证收集
网络安全公司快速7观察到攻击者使用批处理脚本通过 PowerShell 获取受害者凭据。这些凭据通常以要求用户登录的更新为幌子收集。然后,被盗凭据通过安全复制协议 (SCP) 泄露到攻击者的服务器。
预防措施和建议
阻止快速辅助
微软建议网络防御者阻止或卸载快速助手和类似的远程管理工具(如果它们不是必需的)。这可以防止攻击者利用这些工具获得未经授权的访问。
员工培训
培训员工识别技术支持诈骗至关重要。员工应警惕主动提供的帮助,并且仅在主动联系 IT 支持或 Microsoft 支持时才允许远程访问。应立即断开任何可疑的快速协助会话。
起源和引人注目的攻击
Black Basta 于 2022 年 4 月作为勒索软件即服务 (RaaS) 行动出现,可能是已不复存在的 Conti 网络犯罪组织的一个派系。此后,它针对了众多知名组织,包括德国国防承包商莱茵金属公司、英国科技公司 Capita、现代汽车欧洲分部和美国牙科协会。
对关键基础设施的影响
据 CISA 和 FBI 称,Black Basta 附属机构已侵入 500 多个组织,影响了 16 个关键基础设施部门中的 12 个。勒索软件团伙加速了对医疗保健行业的攻击,迫使美国医疗保健巨头 Ascension 等一些机构将救护车转移到未受影响的地点。
财务影响
网络安全公司 Elliptic 和 Corvus Insurance 的研究显示,截至 2023 年 11 月,Black Basta 已从 90 多名受害者那里收取了至少 1 亿美元的赎金。这凸显了该勒索软件团伙的经济动机和构成的重大威胁。
网络犯罪分子滥用 Windows Quick Assist 凸显了对更有效的网络安全实践的需求。通过了解这些攻击媒介并实施预防措施,组织可以更好地保护自己免受 Black Basta 等勒索软件攻击。
与此同时,《科技时报》报道称,美国打算向 通过对他们产生偏执。
