Le ransomware Black Basta exploite Windows Quick Assist

Attaque de Black Basta exploitant Windows Quick Assist : Une Menace Croissante

Microsoft Threat Intelligence a récemment mis en lumière une campagne cybercriminelle, datant d’avril 2024, qui exploite de manière pernicieuse la fonctionnalité Windows Quick Assist.

Cette application, conçue pour permettre le partage d’appareils Windows ou macOS à distance, est devenue le vecteur privilégié du ransomware Black Basta, déployé par le groupe cybercriminel Storm-1811 dans un but lucratif.

Quick Assist, en apparence un outil pratique pour la collaboration à distance, est détourné dans cette campagne pour infiltrer les réseaux des victimes. Les attaques reposent sur des techniques d’ingénierie sociale, notamment le phishing par e-mail et le SPAM, visant à établir un lien entre les utilisateurs ciblés et de faux conseillers du support technique Microsoft ou d’autres services d’assistance. Ces escroqueries sont malheureusement courantes, exploitant la confiance des utilisateurs pour obtenir un accès non autorisé à leurs systèmes.

Une fois le contact établi, les attaquants incitent les victimes à autoriser l’accès à leur appareil via Quick Assist, offrant ainsi une porte dérobée pour le déploiement de charges utiles du ransomware Black Basta. Rapid7, une société de cybersécurité, souligne que les cybercriminels peuvent même utiliser des scripts de commande Microsoft PowerShell pour exfiltrer les informations d’identification des victimes, augmentant ainsi les dommages potentiels de ces attaques.

Face à cette menace croissante, Microsoft a pris des mesures pour protéger les utilisateurs. Microsoft Defender for Endpoint est capable de détecter les activités suspectes provenant des sessions Quick Assist, ainsi que les composants malveillants associés à cette activité, tandis que Microsoft Defender Antivirus est également vigilant contre les menaces liées à ces attaques. Cependant, pour une sécurité renforcée, Microsoft recommande aux utilisateurs de désinstaller ou de bloquer temporairement Windows Quick Assist et d’autres outils de gestion à distance s’ils ne sont pas utilisés dans leur environnement.

Le paysage de la cybercriminalité évolue rapidement, et parmi les menaces les plus préoccupantes se trouve le ransomware Black Basta. Apparu pour la première fois en avril 2022, cette variante de ransomware-as-a-service (RaaS) suscite des inquiétudes majeures dans le domaine de la cybersécurité, mettant en lumière l’importance cruciale d’une vigilance constante et de mesures proactives pour protéger les systèmes et les données contre de telles attaques.

A propos de l'auteur

Retour en haut