{"id":1196470,"date":"2024-06-12T16:31:48","date_gmt":"2024-06-12T18:31:48","guid":{"rendered":"https:\/\/teknomers.com\/fr\/black-basta-ransomware-a-peut-etre-exploite-une-faille-zero-day-de-ms-windows\/"},"modified":"2024-06-12T16:31:52","modified_gmt":"2024-06-12T18:31:52","slug":"black-basta-ransomware-a-peut-etre-exploite-une-faille-zero-day-de-ms-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/black-basta-ransomware-a-peut-etre-exploite-une-faille-zero-day-de-ms-windows\/","title":{"rendered":"Black Basta Ransomware a peut-\u00eatre exploit\u00e9 une faille Zero-Day de MS Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Ransomware \/ S\u00e9curit\u00e9 des points de terminaison<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Black-Basta-Ransomware-a-peut-etre-exploite-une-faille-Zero-Day-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs mena\u00e7ants li\u00e9s au ransomware Black Basta pourraient avoir exploit\u00e9 une faille d&#8217;\u00e9l\u00e9vation de privil\u00e8ges r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans le service de rapport d&#8217;erreurs de Microsoft Windows en tant que jour z\u00e9ro, selon de nouvelles d\u00e9couvertes de Symantec.<\/p>\n<p>La faille de s\u00e9curit\u00e9 en question est <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-26169\" target=\"_blank\">CVE-2024-26169<\/a> (score CVSS : 7,8), un bug d&#8217;\u00e9l\u00e9vation de privil\u00e8ges dans le service de rapport d&#8217;erreurs Windows qui pourrait \u00eatre exploit\u00e9 pour obtenir les privil\u00e8ges SYST\u00c8ME.  Il a \u00e9t\u00e9 corrig\u00e9 par Microsoft en mars 2024.<\/p>\n<p>&#8220;L&#8217;analyse d&#8217;un outil d&#8217;exploitation d\u00e9ploy\u00e9 lors d&#8217;attaques r\u00e9centes a r\u00e9v\u00e9l\u00e9 qu&#8217;il aurait pu \u00eatre compil\u00e9 avant l&#8217;application du correctif, ce qui signifie qu&#8217;au moins un groupe aurait pu exploiter la vuln\u00e9rabilit\u00e9 en tant que jour z\u00e9ro&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Symantec Threat Hunter, qui fait partie de Broadcom. dit dans un <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/black-basta-ransomware-zero-day\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>Le groupe de menaces \u00e0 motivation financi\u00e8re est suivi par la soci\u00e9t\u00e9 sous le nom de Cardinal, \u00e9galement connu sous les noms de Storm-1811 et <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/detecting-disrupting-malvertising-backdoors\/\" target=\"_blank\">UNC4393<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718014063_881_Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il est connu pour mon\u00e9tiser l&#8217;acc\u00e8s en d\u00e9ployant le ransomware Black Basta, g\u00e9n\u00e9ralement en exploitant l&#8217;acc\u00e8s initial obtenu par d&#8217;autres attaquants \u2013 initialement QakBot puis DarkGate \u2013 pour violer les environnements cibles.<\/p>\n<p>Ces derniers mois, l\u2019acteur malveillant a \u00e9t\u00e9 observ\u00e9 utilisant des produits Microsoft l\u00e9gitimes tels que Quick Assist et Microsoft Teams comme vecteurs d\u2019attaque pour infecter les utilisateurs.<\/p>\n<p>&#8220;L&#8217;acteur malveillant utilise Teams pour envoyer des messages et lancer des appels dans le but de se faire passer pour le personnel informatique ou du service d&#8217;assistance&#8221;, Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/05\/15\/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware\/\" target=\"_blank\">dit<\/a>.  &#8220;Cette activit\u00e9 conduit \u00e0 une utilisation abusive de Quick Assist, suivie d&#8217;un vol d&#8217;informations d&#8217;identification \u00e0 l&#8217;aide d&#8217;EvilProxy, de l&#8217;ex\u00e9cution de scripts batch et de l&#8217;utilisation de SystemBC pour la persistance, le commandement et le contr\u00f4le.&#8221;<\/p>\n<p>Symantec a d\u00e9clar\u00e9 avoir observ\u00e9 que l&#8217;outil d&#8217;exploitation \u00e9tait utilis\u00e9 dans le cadre d&#8217;une tentative d&#8217;attaque de ransomware, mais sans succ\u00e8s.<\/p>\n<p>L&#8217;outil &#8220;profite du fait que le fichier Windows werkernel.sys utilise un descripteur de s\u00e9curit\u00e9 nul lors de la cr\u00e9ation des cl\u00e9s de registre&#8221;, explique-t-il.<\/p>\n<p>&#8220;L&#8217;exploit profite de cela pour cr\u00e9er une cl\u00e9 de registre &#8216;HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe&#8217; o\u00f9 il d\u00e9finit la valeur &#8216;Debugger&#8217; comme son propre chemin d&#8217;acc\u00e8s ex\u00e9cutable. Cela permet au exploiter pour d\u00e9marrer un shell avec des privil\u00e8ges administratifs.&#8221;<\/p>\n<p>L&#8217;analyse des m\u00e9tadonn\u00e9es de l&#8217;artefact montre qu&#8217;il a \u00e9t\u00e9 compil\u00e9 le 27 f\u00e9vrier 2024, plusieurs semaines avant que la vuln\u00e9rabilit\u00e9 ne soit corrig\u00e9e par Microsoft, tandis qu&#8217;un autre \u00e9chantillon d\u00e9couvert sur VirusTotal avait un horodatage de compilation du 18 d\u00e9cembre 2023.<\/p>\n<p>Alors que les auteurs de menaces sont enclins \u00e0 modifier l&#8217;horodatage des fichiers et des r\u00e9pertoires d&#8217;un syst\u00e8me compromis pour dissimuler leurs actions ou entraver les enqu\u00eates, une technique appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/006\/\" target=\"_blank\">horodatage<\/a> \u2013 Symantec a soulign\u00e9 qu&#8217;il y a probablement tr\u00e8s peu de raisons de le faire dans ce cas.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ce d\u00e9veloppement intervient au milieu de l\u2019\u00e9mergence d\u2019une nouvelle famille de ransomwares appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/dorra-ransomware\" target=\"_blank\">DORRA<\/a> il s&#8217;agit d&#8217;une variante de la famille de logiciels malveillants Makop, car les attaques de ran\u00e7ongiciels continuent d&#8217;avoir un impact <a rel=\"nofollow noopener\" href=\"https:\/\/www.wired.com\/story\/state-of-ransomware-2024\/\" target=\"_blank\">une sorte de renaissance<\/a> apr\u00e8s un creux en 2022.<\/p>\n<p>Selon Mandiant, soci\u00e9t\u00e9 appartenant \u00e0 Google, l&#8217;\u00e9pid\u00e9mie de ransomware a connu une augmentation de 75\u00a0% des publications sur les sites de fuite de donn\u00e9es, avec <a rel=\"nofollow noopener\" href=\"https:\/\/www.chainalysis.com\/blog\/ransomware-2024\/\" target=\"_blank\">plus de 1,1 milliard de dollars vers\u00e9s aux attaquants<\/a> en 2023, contre 567 millions de dollars en 2022 et 983 millions de dollars en 2021.<\/p>\n<p>&#8220;Cela montre que la l\u00e9g\u00e8re baisse des activit\u00e9s d&#8217;extorsion observ\u00e9e en 2022 \u00e9tait une anomalie, potentiellement due \u00e0 des facteurs tels que l&#8217;invasion de l&#8217;Ukraine et la fuite des conversations Conti&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/ransomware-attacks-surge-rely-on-public-legitimate-tools\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab La r\u00e9surgence actuelle des activit\u00e9s d&#8217;extorsion est probablement due \u00e0 divers facteurs, notamment la r\u00e9installation de l&#8217;\u00e9cosyst\u00e8me cybercriminel apr\u00e8s une ann\u00e9e tumultueuse en 2022, de nouveaux entrants et de nouveaux partenariats et offres de services de ransomware par des acteurs auparavant associ\u00e9s \u00e0 des groupes prolifiques qui avaient \u00e9t\u00e9 perturb\u00e9s. &#8220;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/black-basta-ransomware-may-have.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 juin 2024\ue804R\u00e9dactionRansomware \/ S\u00e9curit\u00e9 des points de terminaison Les acteurs mena\u00e7ants li\u00e9s au ransomware Black Basta pourraient avoir exploit\u00e9 une faille d&#8217;\u00e9l\u00e9vation de privil\u00e8ges r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans le service de rapport d&#8217;erreurs de Microsoft Windows en tant que jour z\u00e9ro, selon de nouvelles d\u00e9couvertes de Symantec. La faille de s\u00e9curit\u00e9 en question est CVE-2024-26169 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1196471,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,78875,416,4168,4165,4161,200267,7727,9048,4159,4171,200271,200268,200269,200270,1868,4392,128318,4172,4169,196,4166,4164,45020,35759],"class_list":["post-1196470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-basta","tag-black","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-exploite","tag-faille","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-peutetre","tag-ransomware","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1196470"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196470\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1196471"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1196470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1196470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1196470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}