Brief de plongée :
- Les chercheurs de Microsoft préviennent qu’un pirate informatique motivé par des raisons financières a abusé de l’outil de gestion des clients Quick Assist de l’entreprise depuis la mi-avril dans des attaques d’ingénierie sociale, conduisant finalement au déploiement du ransomware Black Basta, selon un article de blog publié mercredi. Avec Quick Assist, les utilisateurs peuvent connecter à distance Windows ou macOS avec une autre personne.
- Les attaques ont commencé par utiliser le phishing vocal, également connu sous le nom de vishing, et ont conduit à une utilisation malveillante d’outils de surveillance à distance tels que ScreenConnect ou NetSupport Manager, selon Microsoft. Les pirates ont également déployé des malwares, notamment Cobalt Strike ou Qakbot, avant de lancer le ransomware Black Basta.
- Cette divulgation est intervenue moins d’une semaine après que le FBI et la Cybersecurity and Infrastructure Security Agency ont mis en garde contre le déploiement du ransomware Black Basta dans des centaines d’attaques contre les infrastructures critiques et les soins de santé dans le monde entier.
Aperçu de la plongée :
Les groupes menaçants utilisent le vishing comme technique d’ingénierie sociale pour inciter les utilisateurs à accorder l’accès à leurs systèmes informatiques. Dans certains cas, les pirates se font passer pour le personnel informatique ou du service d’assistance, tandis que dans d’autres cas, un acteur malveillant utilise une attaque par courrier électronique pour submerger une adresse électronique de spam. Le pirate informatique demande ensuite l’accès au système de cet utilisateur sous prétexte de résoudre le problème..
Une fois que les pirates ont reçu l’autorisation d’accéder au système, ils utilisent Quick Assist pour accéder à l’appareil, puis téléchargent des fichiers ZIP ou batch pour fournir des charges utiles malveillantes, notamment des outils de gestion à distance ou des logiciels malveillants.
Les outils d’accès à distance étaient le principal point d’intrusion pour les attaques de ransomwares en 2023, selon les chercheurs d’At-Bay.
ScreenConnect, un outil d’accès et d’assistance à distance de ConnectWise, permet à un acteur malveillant de gagner en persistance et de se déplacer latéralement, tandis que NetSupport Manager peut garder le contrôle sur les systèmes compromis, selon le blog.
Les chercheurs de Trend Micro ont déjà observé que les filiales de Black Basta exploitaient des failles critiques dans ScreenConnect, notamment une vulnérabilité de contournement d’authentification, répertoriée comme CVE-2024-1709avant de déployer Cobalt Strike.
Robert Knapp, directeur principal des services de réponse aux incidents chez Rapid7, a déclaré que les notes du rapport Microsoft activité similaire à WHAt Les chercheurs de Rapid7 ont observé : mais va encore plus loin en reliant l’activité à un acteur menaçant spécifique. Toutefois, Rapid7 n’a pas vu le déploiement de Qakbot dans ces cas précis.
Les affiliés de Black Basta ont souvent utilisé Qakbot pour y accéder avant de déployer le ransomware, selon Microsoft.
Black Basta a également exploité des vulnérabilités dans VMware ESXi exécuté sur des serveurs d’entreprise, selon Jon Miller, co-fondateur et PDG de Halcyon.
2024-05-17 18:24:55
1715960361
#Microsoft #met #garde #contre #pirate #informatique #qui #utilise #mauvais #escient #Quick #Assist #dans #les #attaques #ransomware #Black #Basta