Los informes recientes de Symantec sugieren que los actores de amenazas vinculados al ransomware Black Basta podrían haber aprovechado la vulnerabilidad recientemente revelada en el Servicio de Informes de Errores de Windows de Microsoft como un día cero. La falla de seguridad, identificada como CVE-2024-26169, es un bug de escalada de privilegios con una puntuación CVSS de 7.8. Esta vulnerabilidad ya ha sido parcheada por Microsoft en marzo de 2024.
‘
Symantec ha revelado que el análisis de una herramienta de explotación encontrada en ataques recientes reveló pruebas de que podría haber sido creada antes de que se lanzara el parche, lo que sugiere que al menos un grupo podría haber estado explotando la vulnerabilidad como un día cero. Este grupo, rastreado por Symantec bajo el nombre de Cardinal y también conocido como Storm-1811 y UNC4393, se sabe que está motivado financieramente y emplea el ransomware Black Basta para monetizar el acceso obtenido por otros actores de amenazas.
‘
Este grupo ha sido observado utilizando productos legítimos de Microsoft, como Quick Assist y Microsoft Teams, como vectores de ataque para comprometer entornos objetivo. Microsoft señala que el actor de amenazas emplea Microsoft Teams para enviar mensajes y realizar llamadas, haciéndose pasar por personal de TI o mesa de ayuda. Esto conduce al mal uso de Quick Assist, robo de credenciales utilizando EvilProxy, ejecución de scripts por lotes y el uso de SystemBC para persistencia y control de comandos.
‘
Symantec también observó que la herramienta de explotación se utilizó en un intento de ataque de ransomware, que finalmente no tuvo éxito. Esta herramienta aprovecha una falla en el archivo de Windows werkernel.sys para crear una clave de registro que permite iniciar un shell con privilegios administrativos. Los análisis revelan que la herramienta se compiló el 27 de febrero de 2024, varias semanas antes de que Microsoft abordara la vulnerabilidad.
‘
El surgimiento de una nueva familia de ransomware llamada DORRA ha cobrado importancia recientemente. Según Mandiant, la epidemia de ransomware ha experimentado un aumento del 75% en publicaciones en sitios de filtraciones de datos, con más de $1.1 mil millones pagados a los atacantes en 2023, frente a $567 millones en 2022 y $983 millones en 2021. Esto subraya un resurgimiento en la actividad de extorsión que ha sido atribuido a varios factores, incluidos nuevos participantes y nuevas asociaciones en el ecosistema criminal cibernético.
Vía The Hacker News