Los actores de amenazas vinculados al ransomware Black Basta pueden haber explotado una falla de escalada de privilegios recientemente revelada en el Servicio de Informe de Errores de Microsoft Windows como un día cero, según nuevos hallazgos de Symantec.
La falla de seguridad en cuestión es CVE-2024-26169 (Puntuación CVSS: 7,8), un error de elevación de privilegios en el Servicio de informe de errores de Windows que podría explotarse para lograr privilegios del SISTEMA. Microsoft lo parchó en marzo de 2024.
«El análisis de una herramienta de explotación implementada en ataques recientes reveló evidencia de que podría haber sido compilada antes de aplicar el parche, lo que significa que al menos un grupo puede haber estado explotando la vulnerabilidad como un día cero», dijo el equipo Symantec Threat Hunter, parte de Broadcom. dijo en un informe compartido con The Hacker News.
La empresa rastrea el grupo de amenazas con motivos financieros bajo el nombre de Cardinal, también conocido como Storm-1811 y UNC4393.
Se sabe que monetiza el acceso implementando el ransomware Black Basta, generalmente aprovechando el acceso inicial obtenido por otros atacantes (inicialmente QakBot y luego DarkGate) para violar los entornos de destino.
En los últimos meses, se ha observado que el actor de amenazas utiliza productos legítimos de Microsoft como Quick Assist y Microsoft Teams como vectores de ataque para infectar a los usuarios.
«El actor de amenazas utiliza Teams para enviar mensajes e iniciar llamadas en un intento de hacerse pasar por personal de TI o de la mesa de ayuda», Microsoft dicho. «Esta actividad conduce al uso indebido de Quick Assist, seguido del robo de credenciales utilizando EvilProxy, la ejecución de scripts por lotes y el uso de SystemBC para persistencia y comando y control».
Symantec dijo que observó que la herramienta de explotación se utilizaba como parte de un intento fallido de ataque de ransomware.
La herramienta «aprovecha el hecho de que el archivo de Windows werkernel.sys utiliza un descriptor de seguridad nulo al crear claves de registro», explicó.
«El exploit aprovecha esto para crear una clave de registro ‘HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe’ donde establece el valor ‘Debugger’ como su propio nombre de ruta ejecutable. Esto permite exploit para iniciar un shell con privilegios administrativos.»
El análisis de metadatos del artefacto muestra que se compiló el 27 de febrero de 2024, varias semanas antes de que Microsoft abordara la vulnerabilidad, mientras que otra muestra descubierta en VirusTotal tenía una marca de tiempo de compilación del 18 de diciembre de 2023.
Si bien los actores de amenazas son propensos a alterar las marcas de tiempo de archivos y directorios en un sistema comprometido para ocultar sus acciones o impedir investigaciones (una técnica conocida como pisotear el tiempo – Symantec señaló que probablemente haya muy pocas razones para hacerlo en este caso.
El desarrollo se produce en medio de la aparición de una nueva familia de ransomware llamada DORRA Se trata de una variante de la familia de malware Makop, ya que los ataques de ransomware siguen teniendo un impacto renacimiento de tipo después de una caída en 2022.
Según Mandiant, propiedad de Google, la epidemia de ransomware fue testigo de un aumento del 75% en las publicaciones en sitios de fuga de datos, con más de 1.100 millones de dólares pagados a los atacantes en 2023, frente a 567 millones de dólares en 2022 y 983 millones de dólares en 2021.
«Esto ilustra que la ligera caída en la actividad de extorsión observada en 2022 fue una anomalía, potencialmente debido a factores como la invasión de Ucrania y los chats de Conti filtrados», dijo la empresa. dicho.
«El actual resurgimiento de la actividad de extorsión probablemente esté impulsado por varios factores, incluido el reasentamiento del ecosistema cibercriminal luego de un año tumultuoso en 2022, nuevos participantes y nuevas asociaciones y ofertas de servicios de ransomware por parte de actores previamente asociados con grupos prolíficos que habían sido interrumpidos. «.