Téléchargez la documentation technique !
Recevez gratuitement dans votre boîte mail la documentation technique de Gestactiv’2 et découvrez son fonctionnement dans le détail.
Quick Assist & Ransomware : comment les pirates cherchent à vous piéger ?
Alerte, les pirates ont trouvé une nouvelle astuce pour infecter vos machines avec des ransomwares : ils utilisent Quick Assist, la fonctionnalité d’assistance à distance intégrée à Windows. Alors pour éviter que vos données sensibles soient prises en otage, nous vous dévoilons leur mode opératoire et vous donnons les clés pour sécuriser votre système informatique.
Sommaire
Mode opératoire des pirates : Vishing, Quick Assist puis infection
Depuis mi-Avril 2024, le gang de pirates informatiques Storm-1811, sème la panique dans les sociétés du monde entier.
Ces cybercriminels ont détourné la fonctionnalité d’assistance rapide de Microsoft (Quick Assist), qui permet d’autoriser un tiers à prendre la main sur votre PC, afin de :
- piéger les utilisateurs, pour avoir accès à leur réseau informatique
- déployer massivement le ransomware Black Basta qui prend en otage leurs données, en échange d’une rançon faramineuse
Leur stratégie sournoise est bien rodée et le nombre de victimes ne cesse d’augmenter. Alors, pour que vous soyez en mesure de repérer les premiers signes d’alerte, nous vous avons décrypté leur mode opératoire, basé sur l’ingénierie sociale.
Repérage des cibles
Tout d’abord, les pirates vont commencer par récupérer un maximum de renseignements vous concernant. Ils vont notamment éplucher vos réseaux sociaux (LinkedIn en tête) à la recherche d’informations, comme :
- votre adresse mail professionnelle
- votre entreprise (nom de la société, informations publiques, identité visuelle, actualités…)
- votre poste dans la structure
- vos collaborateurs (noms et emails de vos collaborateurs, relations hiérarchiques…)
L’objectif pour eux, consiste à récupérer votre email ainsi qu’un maximum d’éléments sur vous. Ce qui leur permet, durant la phase suivante, d’affiner leur argumentaire pour mieux vous tromper.
Spamming de masse, Usurpation d’identité & Vishing
Une fois que ces cybercriminels ont mis la main sur votre adresse email, ils inondent votre boîte mail avec des spams.
Puis, ils entrent en contact avec vous en se faisant passer pour des techniciens du support Microsoft (usurpation d’identité), venus vous aider à mettre fin à cette invasion de mails indésirables.
La plupart du temps, pour vous contacter, les pirates utilisent une technique appelée « Vishing ». En très résumé, cette méthode utilise le même procédé et vise le même objectif que lors d’un phishing email : vous pousser par tous les moyens, à effectuer l’action qu’ils souhaitent que vous réalisiez. Seul le mode de contact change.
Dans le cas du « vishing », c’est via un appel vocal, provenant d’un numéro probablement falsifié, que ces pirates cherchent à vous convaincre de leur donner l’accès à votre PC par le biais de « Quick Assist ». Les appels téléphoniques étant moins souvent présentés comme vecteurs de cyberattaques (par rapport à l’email), vous risquez d’être moins vigilants lorsque vous recevez cet appel. Et donc plus enclin à accéder à leurs requêtes. Surtout qu’ils savent se montrer très convaincants :
- ils vous guident pas à pas pour leur donner le contrôle de votre poste
- ils personnalisent leur discours, grâce aux données collectées sur vous préalablement, pour être crédibles
Alors restez sur vos gardes ! Car, selon les dernières observations de Microsoft Threat Intelligence (fin Mai 2024), ces pirates peuvent également vous envoyer des messages ou lancer des appels via Microsoft Teams pour entrer en contact avec vous. Et leur objectif final est évidemment le même : prendre le contrôle de votre PC via l’assistance rapide Microsoft.
Vol de données & déploiement de malwares / ransomware
Une fois que les pirates vous ont convaincu et ont obtenu le contrôle de votre poste, vous êtes totalement impuissant. Vous ne pouvez plus intervenir sur votre machine, ce sont eux qui en ont la maîtrise.
Et c’est donc sous vos yeux qu’ils vont déployer sur votre PC, une panoplie de malwares destinés à :
- voler vos données confidentielles (informations de connexion à vos comptes en ligne, boîtes mails, informations bancaires, etc…)
- infecter votre réseau d’entreprise avec un ransomware et vous réclamer une rançon
Et tout ça en votre nom ! Car comme vous leur avez donné la main sur votre poste, c’est votre nom d’utilisateur qui est associé à toutes les actions malveillantes réalisées sur le réseau de votre société.
Comment se protéger des cyberattaques via Quick Assist ?
Recommandations Microsoft pour bloquer les pirates
Pour se protéger efficacement face à cette menace spécifique, Microsoft conseille de :
- désactiver Quick Assist si vous ne l’utilisez pas régulièrement
- donner l’accès à votre PC à un tiers, uniquement si vous êtes à l’initiative d’une demande auprès du support Microsoft
De plus, sachez que :
- Microsoft ne vous appellera jamais spontanément pour vous offrir une assistance quelconque
- Les messages d’erreur ou d’avertissement de Microsoft, ne demandent jamais d’appeler un numéro de téléphone
- Microsoft ne vous demandera jamais de régler le support en cryptomonnaies ou cartes-cadeaux
Et si malheureusement vous avez donné accès à votre machine à un tiers, et que vous le soupçonnez d’effectuer des actions malveillantes :
- déconnectez-vous immédiatement de la session et reportez l’incident à votre prestataire informatique
- utilisez ce formulaire pour signaler à Microsoft que des individus malveillants se font passer pour des techniciens de leur support technique
Bonnes pratiques cybersécurité, à appliquer au quotidien
Enfin, pour protéger intégralement votre système informatique contre les cybermenaces, voici nos conseils :
- sensibilisez vous, ainsi que vos collaborateurs, à la cybersécurité pour adopter de bons réflexes
- renseignez-vous sur les techniques d’ingénierie sociale employées par les pirates dans leurs cyberattaques
- protégez votre boîte mail contre les tentatives de cyberattaques (phishing, pièce-jointes infectée, etc…)
- installez un antivirus sur tous vos appareils connectés à internet et gardez le à jour
- installez les mises à jour sur l’ensemble de vos appareils, dès qu’elles sont disponibles
- utilisez des bloqueurs de publicités pour éviter d’être exposé à des publicités malveillantes
- réalisez des sauvegardes régulières de vos données
- utilisez des mots de passe robustes pour sécuriser vos machines et comptes en ligne
- activez l’authentification à double facteur partout où vous le pouvez
- si votre routeur le permet, configurez un réseau invité distinct de votre réseau principal
- enfin supervisez en permanence votre réseau et vos appareils afin de détecter au plus vite toute anomalie (connexion à des horaires inhabituels, pic d’activité étrange, etc…)
Conclusion
Vous l’aurez compris, les pirates et leur technique sournoise du « Quick Assist » sont redoutables. Alors réfléchissez y à deux fois si un technicien du support technique Microsoft vous contacte prochainement pour obtenir les clés de votre machine… Et surtout, bâtissez une forteresse solide autour de votre infrastructure informatique, pour tenir à distance ces cybercriminels. Vous n’êtes pas seul pour l’édifier, nos experts techniques sont prêts à intervenir pour :
- appliquer les recommandations Microsoft qui vous protègeront de cette attaque via « Quick Assist »
- installer et configurer les outils de cybersécurité dont vous avez besoin (pare-feu, antivirus, etc…)
- et vous fournir des conseils personnalisés pour renforcer votre sécurité informatique
Alors n’attendez pas d’être victime d’une cyberattaque pour réagir : contactez-nous dès aujourd’hui pour protéger vos données et votre activité !
.