Ransomware : quand les cybercriminels détournent des outils de support légitimes

C’était en janvier 2024 : Harlan Carvey, de Huntress, évoquait deux cas de cyberattaque avec ransomware survenus quelques semaines plus tôt. Ils auraient pu mal tourner mais n’ont affecté que des leurres. 

Leur spécificité ? Les deux cas impliquent un accès à distance aux machines concernées via TeamViewer, un outil bien connu de support technique et tout à fait légitime. Las, ce type de scénario n’est pas isolé.

En mars 2024, c’était au tour de Symantec de relever l’utilisation d’AnyDesk par des cybercriminels pour conduire leurs attaques, aux côtés de ConnectWise ScreenConnect ou encore Pandora RC, en plus des très courants services VNC et RDP.

Deux mois plus tard, Microsoft documente la manière dont un acteur suivi sous la référence Storm-1811 berneses victimes, via vishing, pour les amener à installer un outil d’administration à distance, dont notamment Quick Assist, pour in fine déployer le ransomware de l’enseigne Black Basta.

Des spécialistes de la réponse à incident alertaient déjà sur ce mode opératoire en 2023. Mais il continue d’être observé, impliquant Quick Assist ou AnyDesk, notamment, ainsi que des spams et, surtout, du faux support technique via Teams. 

Problème, avec Quick Assist en particulier : il est fourni par Microsoft, en standard, dans les éditions professionnelle et entreprise de Windows 10 et 11, relève l’expert Kevin Beaumont. De quoi ajouter à la facilité de son usage, y compris à des fins malicieuses, et à l’impression de légitimité pour les utilisateurs finaux visés.

Face à cela, il est possible de miser sur des stratégies de configuration, des règles de détection – des listes dédiées sont disponibles et mises à jour régulièrement – ou encore la sensibilisation. A compter qu’elle dépasse les inévitables effort de prévention du phishing.