Il ransomware Black Basta abusa di Windows Quick Assist: come proteggersi
Financially motivated cybercriminals hanno iniziato ad abusare della funzionalità Windows Quick Assist in attacchi di ingegneria sociale per distribuire payload di ransomware Black Basta nelle reti delle vittime.
La compagnia di sicurezza informatica Rapid7 e Microsoft hanno rilevato questo schema di attacco, in cui il gruppo di minacce (tracciato come Storm-1811) inizia con il bombardamento di email alle vittime, iscrivendo i loro indirizzi a vari servizi di abbonamento alle email. Una volta che le caselle di posta elettronica delle vittime sono inondate di messaggi indesiderati, i cybercriminali effettuano chiamate in cui si spacciano per personale di supporto tecnico Microsoft o personale IT o di help desk dell’azienda attaccata, offrendosi di aiutare a risolvere i problemi di spam.
Durante questo attacco di phishing vocale, gli attaccanti convincono le vittime a concedere l’accesso ai loro dispositivi Windows, avviando lo strumento di controllo remoto e condivisione dello schermo Quick Assist integrato. Una volta che l’utente concede l’accesso e il controllo, il cybercriminale esegue un comando cURL scriptato per scaricare una serie di file batch o file ZIP utilizzati per consegnare payload dannosi.
Microsoft Threat Intelligence ha identificato attività simili che portano al download di Qakbot, strumenti RMM come ScreenConnect, NetSupport Manager e Cobalt Strike. Dopo l’installazione degli strumenti dannosi e la conclusione della telefonata, Storm-1811 esegue l’enumerazione del dominio, si muove lateralmente attraverso la rete della vittima e distribuisce il ransomware Black Basta utilizzando lo strumento Windows PsExec, che sostituisce il telnet.
Per proteggersi da questi attacchi di ingegneria sociale, Microsoft consiglia di bloccare o disinstallare Quick Assist e strumenti di monitoraggio e gestione remota simili se non utilizzati e di formare il personale a riconoscere le truffe di supporto tecnico. Coloro che sono stati presi di mira in questi attacchi dovrebbero consentire l’accesso ad altri dispositivi solo se hanno contattato il personale di supporto IT o Microsoft Support e dovrebbero immediatamente interrompere qualsiasi sessione Quick Assist se sospettano intenti malevoli.
L’operazione di ransomware Black Basta
Dopo che il gruppo di criminalità informatica Conti ha chiuso due anni fa a seguito di una serie di violazioni di dati imbarazzanti, si è diviso in più fazioni, una delle quali è ritenuta essere Black Basta.
Black Basta è emerso come operazione Ransomware-as-a-Service (RaaS) ad aprile 2022. Da allora, i suoi affiliati hanno violato molte vittime di alto profilo, tra cui il contractor tedesco della difesa Rheinmetall, la società di outsourcing tecnologico del Regno Unito Capita, la divisione europea di Hyundai, la Biblioteca pubblica di Toronto, l’Associazione dentale americana, la società di automazione industriale e il contractor governativo ABB, Sobeys, Knauf e Pagine Gialle Canada.
Più recentemente, Black Basta è stato collegato a un attacco ransomware che ha colpito il gigante sanitario statunitense Ascension, costringendolo a deviare le ambulanze verso strutture non interessate.
Secondo il Center for Internet Security (CISA) e il Federal Bureau of Investigation (FBI), gli affiliati di Black Basta hanno violato più di 500 organizzazioni tra aprile 2022 e maggio 2024, crittografando e rubando dati da almeno 12 su 16 settori critici infrastrutture.
L’Health-ISAC (Information Sharing and Analysis Center) ha avvertito in un bollettino di minaccia che il gruppo ransomware “ha recentemente accelerato gli attacchi contro il settore sanitario”.
Secondo la ricerca di Elliptic e Corvus Insurance, Black Basta ha raccolto almeno $100 milioni in pagamenti di riscatto da oltre 90 vittime fino a novembre 2023.
Per proteggersi da questi attacchi di ransomware, è fondamentale mantenersi informati sulle ultime minacce informatiche e best practice di sicurezza, nonché adottare misure di sicurezza proattive come il backup regolare dei dati, la patching delle vulnerabilità e la formazione del personale su come riconoscere e rispondere agli attacchi di phishing e social engineering.
