Cyberbezpieczeństwo
Pulpity zdalne na celowniku hakerów. Rozprzestrzeniają ransomware
Podmioty oraz użytkownicy korzystający na swoim sprzęcie z programu Quick Assist powinni uważać, komu przyznają dostęp do komputera podczas połączenia. Microsoft ostrzegł bowiem, że aplikacja ta stała się narzędziem dla cyberprzestępców do rozprzestrzeniania ransomware Black Basta.
Oszustwa przeprowadzane za pomocą aplikacji pulpitu zdalnego mogą się obecnie wydawać zmarginalizowanymi. Okazuje się jednak, że cyberprzestępcy postanowili wykorzystać tego typu programy na innym kierunku działań, dzięki czemu mogą wyrządzić szkody podobnych, jeżeli nie większych rozmiarów.
Czytaj też
Quick Assist na celowniku hakerów
Tym razem w centrum uwagi znalazła się aplikacja Quick Assist. Jak podaje serwis The Register, Microsoft dołącza ją do każdej kopii systemu operacyjnego Windows 11; jest ona również dostępna na inne wersje „okienek”, jak również i na macOS. Wbrew pozorom, nie zainteresowali się nią oszuści – tylko hakerzy.
Wspomnianego programu używają najczęściej pracownicy do połączenia się ze specjalistami IT. I to właśnie tę cechę postanowili wykorzystać atakujący, którzy według giganta z Redmond należą do grupy Storm-1811.
Czytaj też
Metoda podobna do oszustwa
Typowy atak przebiega prawie identycznie jak w przypadku typowego oszustwa wykorzystującego pulpit zdalny. Podający się za pomoc techniczną haker kontaktuje się z potencjalną ofiarą w celu naprawienia pewnego problemu, którzy rzekomo jest obecny w ich komputerze. Może to być np. zalanie skrzynki e-mail przez spam.
Haker przekazuje ofierze kod bezpieczeństwa, który ta musi wprowadzić do Quick Assista w celu udostępnienia ekranu. Gdy to nastąpi, atakujący może poprosić o przejęcie kontroli nad urządzeniem, co ma miejsce tylko za zgodą ofiary.
Czytaj też
Ostrożność albo deinstalacja programu. Będą ostrzeżenia
Od tego momentu postępowanie cyberprzestępców jest już proste do przewidzenia. Na sprzęcie ofiary instalują oni programyremote monitoring and management, takie jak ScreenConnect czy Cobalt Strike, oraz inne złośliwe oprogramowanie, jak Qakbot. W końcu, wykorzystując połączenie komputera ofiary z siecią danego podmiotu, rozprzestrzeniają w niej ransomware Black Basta.
Co zaleca Microsoft w obecnej sytuacji? Oprócz oczywistej ostrożności, przedsiębiorstwa mogą zablokować, bądź w ogóle odinstalować Quick Assista. W samej aplikacji niebawem mają pojawić się ostrzeżenia przed potencjalnymi atakami.
/PM
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: