{"id":1234920,"date":"2024-06-12T19:03:54","date_gmt":"2024-06-12T19:03:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/black-basta-ransomware-puede-haber-aprovechado-la-falla-de-dia-cero-de-ms-windows\/"},"modified":"2024-06-12T19:03:59","modified_gmt":"2024-06-12T19:03:59","slug":"black-basta-ransomware-puede-haber-aprovechado-la-falla-de-dia-cero-de-ms-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/black-basta-ransomware-puede-haber-aprovechado-la-falla-de-dia-cero-de-ms-windows\/","title":{"rendered":"Black Basta Ransomware puede haber aprovechado la falla de d\u00eda cero de MS Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de junio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ransomware\/seguridad de terminales<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Black-Basta-Ransomware-puede-haber-aprovechado-la-falla-de-dia.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas vinculados al ransomware Black Basta pueden haber explotado una falla de escalada de privilegios recientemente revelada en el Servicio de Informe de Errores de Microsoft Windows como un d\u00eda cero, seg\u00fan nuevos hallazgos de Symantec.<\/p>\n<p>La falla de seguridad en cuesti\u00f3n es <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-26169\" target=\"_blank\">CVE-2024-26169<\/a> (Puntuaci\u00f3n CVSS: 7,8), un error de elevaci\u00f3n de privilegios en el Servicio de informe de errores de Windows que podr\u00eda explotarse para lograr privilegios del SISTEMA.  Microsoft lo parch\u00f3 en marzo de 2024.<\/p>\n<p>&#8220;El an\u00e1lisis de una herramienta de explotaci\u00f3n implementada en ataques recientes revel\u00f3 evidencia de que podr\u00eda haber sido compilada antes de aplicar el parche, lo que significa que al menos un grupo puede haber estado explotando la vulnerabilidad como un d\u00eda cero&#8221;, dijo el equipo Symantec Threat Hunter, parte de Broadcom. dijo en un <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/black-basta-ransomware-zero-day\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>La empresa rastrea el grupo de amenazas con motivos financieros bajo el nombre de Cardinal, tambi\u00e9n conocido como Storm-1811 y <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/detecting-disrupting-malvertising-backdoors\/\" target=\"_blank\">UNC4393<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718016424_202_Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se sabe que monetiza el acceso implementando el ransomware Black Basta, generalmente aprovechando el acceso inicial obtenido por otros atacantes (inicialmente QakBot y luego DarkGate) para violar los entornos de destino.<\/p>\n<p>En los \u00faltimos meses, se ha observado que el actor de amenazas utiliza productos leg\u00edtimos de Microsoft como Quick Assist y Microsoft Teams como vectores de ataque para infectar a los usuarios.<\/p>\n<p>&#8220;El actor de amenazas utiliza Teams para enviar mensajes e iniciar llamadas en un intento de hacerse pasar por personal de TI o de la mesa de ayuda&#8221;, Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/05\/15\/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware\/\" target=\"_blank\">dicho<\/a>.  &#8220;Esta actividad conduce al uso indebido de Quick Assist, seguido del robo de credenciales utilizando EvilProxy, la ejecuci\u00f3n de scripts por lotes y el uso de SystemBC para persistencia y comando y control&#8221;.<\/p>\n<p>Symantec dijo que observ\u00f3 que la herramienta de explotaci\u00f3n se utilizaba como parte de un intento fallido de ataque de ransomware.<\/p>\n<p>La herramienta &#8220;aprovecha el hecho de que el archivo de Windows werkernel.sys utiliza un descriptor de seguridad nulo al crear claves de registro&#8221;, explic\u00f3.<\/p>\n<p>&#8220;El exploit aprovecha esto para crear una clave de registro &#8216;HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe&#8217; donde establece el valor &#8216;Debugger&#8217; como su propio nombre de ruta ejecutable. Esto permite exploit para iniciar un shell con privilegios administrativos.&#8221;<\/p>\n<p>El an\u00e1lisis de metadatos del artefacto muestra que se compil\u00f3 el 27 de febrero de 2024, varias semanas antes de que Microsoft abordara la vulnerabilidad, mientras que otra muestra descubierta en VirusTotal ten\u00eda una marca de tiempo de compilaci\u00f3n del 18 de diciembre de 2023.<\/p>\n<p>Si bien los actores de amenazas son propensos a alterar las marcas de tiempo de archivos y directorios en un sistema comprometido para ocultar sus acciones o impedir investigaciones (una t\u00e9cnica conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/006\/\" target=\"_blank\">pisotear el tiempo<\/a> \u2013 Symantec se\u00f1al\u00f3 que probablemente haya muy pocas razones para hacerlo en este caso.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El desarrollo se produce en medio de la aparici\u00f3n de una nueva familia de ransomware llamada <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/dorra-ransomware\" target=\"_blank\">DORRA<\/a> Se trata de una variante de la familia de malware Makop, ya que los ataques de ransomware siguen teniendo un impacto <a rel=\"nofollow noopener\" href=\"https:\/\/www.wired.com\/story\/state-of-ransomware-2024\/\" target=\"_blank\">renacimiento de tipo<\/a> despu\u00e9s de una ca\u00edda en 2022.<\/p>\n<p>Seg\u00fan Mandiant, propiedad de Google, la epidemia de ransomware fue testigo de un aumento del 75% en las publicaciones en sitios de fuga de datos, con <a rel=\"nofollow noopener\" href=\"https:\/\/www.chainalysis.com\/blog\/ransomware-2024\/\" target=\"_blank\">m\u00e1s de 1.100 millones de d\u00f3lares pagados a los atacantes<\/a> en 2023, frente a 567 millones de d\u00f3lares en 2022 y 983 millones de d\u00f3lares en 2021.<\/p>\n<p>&#8220;Esto ilustra que la ligera ca\u00edda en la actividad de extorsi\u00f3n observada en 2022 fue una anomal\u00eda, potencialmente debido a factores como la invasi\u00f3n de Ucrania y los chats de Conti filtrados&#8221;, dijo la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/ransomware-attacks-surge-rely-on-public-legitimate-tools\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;El actual resurgimiento de la actividad de extorsi\u00f3n probablemente est\u00e9 impulsado por varios factores, incluido el reasentamiento del ecosistema cibercriminal luego de un a\u00f1o tumultuoso en 2022, nuevos participantes y nuevas asociaciones y ofertas de servicios de ransomware por parte de actores previamente asociados con grupos prol\u00edficos que hab\u00edan sido interrumpidos. &#8220;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/black-basta-ransomware-may-have.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de junio de 2024\ue804Sala de redacci\u00f3nRansomware\/seguridad de terminales Los actores de amenazas vinculados al ransomware Black Basta<\/p>\n","protected":false},"author":1,"featured_media":1234921,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,40372,4661,32542,4705,2127,4664,1478,2503,4662,1322,4668,201033,4654,201031,4659,4653,4655,149,4883,4666,4665,201032,4660,20385],"class_list":["post-1234920","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechado","tag-ataques-ciberneticos","tag-basta","tag-black","tag-cero","tag-como-hackear","tag-dia","tag-falla","tag-filtracion-de-datos","tag-haber","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-puede","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1234920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1234920"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1234920\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1234921"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1234920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1234920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1234920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}