Ciberseguridad 360 | Ransomware Black Basta vinculado a ataques zero-day en Windows

Los actores de amenazas vinculados al ransomware Black Basta podr�an haber explotado un fallo de elevaci�n de privilegios recientemente revelado en el Servicio de Informes de Errores de Microsoft Windows como un zero-day, seg�n nuevos hallazgos de Symantec.

El fallo de seguridad en cuesti�n es CVE-2024-26169 (puntuaci�n CVSS: 7,8), un error de elevaci�n de privilegios en el Servicio de Informes de Errores de Windows que podr�a aprovecharse para obtener privilegios de SISTEMA. Fue parcheado por Microsoft en marzo de 2024.

"El an�lisis de una herramienta de explotaci�n desplegada en ataques recientes revel� evidencias de que podr�a haber sido compilada antes del parcheado, lo que significa que al menos un grupo podr�a haber estado explotando la vulnerabilidad como un zero-day", dijo el Equipo de Cazadores de Amenazas de Symantec, parte de Broadcom, en un informe compartido con The Hacker News.

El grupo de amenazas con motivaciones financieras est� siendo rastreado por la compa��a bajo el nombre de Cardinal, y que tambi�n se conoce como Storm-1811 y UNC4393.

Se sabe que monetiza el acceso desplegando el ransomware Black Basta, normalmente aprovechando el acceso inicial obtenido por otros atacantes -inicialmente QakBot y despu�s DarkGate- para penetrar en los entornos objetivo.

En los �ltimos meses, se ha observado que el actor de la amenaza utiliza productos leg�timos de Microsoft como Quick Assist y Microsoft Teams como vectores de ataque para infectar a los usuarios.

"El actor de la amenaza utiliza Teams para enviar mensajes e iniciar llamadas en un intento de hacerse pasar por personal de TI o del servicio de asistencia", dijo Microsoft. "Esta actividad conduce al uso indebido de Quick Assist, seguido por el robo de credenciales utilizando EvilProxy, la ejecuci�n de scripts por lotes y el uso de SystemBC para la persistencia y el comando y control".

Symantec dijo que observ� que la herramienta de explotaci�n se utilizaba como parte de un intento de ataque de ransomware, pero sin �xito.

La herramienta "se aprovecha del hecho de que el archivo de Windows werkernel.sys utiliza un descriptor de seguridad nulo al crear claves de registro", explic�.

"El exploit se aprovecha de esto para crear una clave de registro 'HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe' donde establece el valor 'Debugger' como su propio nombre de ruta ejecutable. Esto permite al exploit iniciar un shell con privilegios administrativos".

El an�lisis de los metadatos del artefacto muestra que fue compilado el 27 de febrero de 2024, varias semanas antes de que Microsoft solucionara la vulnerabilidad, mientras que otra muestra descubierta en VirusTotal ten�a una fecha de compilaci�n del 18 de diciembre de 2023.

Aunque las amenazas son propensas a alterar las marcas de tiempo de los archivos y directorios en un sistema comprometido para ocultar sus acciones o impedir las investigaciones - una t�cnica conocida como timestomping - Symantec se�al� que es probable que haya muy pocas razones para hacerlo en este caso.

El desarrollo se produce en medio de la aparici�n de una nueva familia de ransomware llamada DORRA que es una variante de la familia de malware Makop, ya que los ataques de ransomware contin�an teniendo una especie de resurgimiento despu�s de una ca�da en 2022.

Seg�n Mandiant, propiedad de Google, la epidemia de ransomware fue testigo de un aumento del 75% en las publicaciones en sitios de filtraci�n de datos, con m�s de $ 1,1 mil millones pagados a los atacantes en 2023, frente a $ 567 millones en 2022 y $ 983 millones en 2021.

"Esto ilustra que la ligera ca�da en la actividad de extorsi�n observada en 2022 fue una anomal�a, potencialmente debido a factores como la invasi�n de Ucrania y los chats filtrados de Conti", dijo la compa��a.

"Es probable que el actual resurgimiento de la actividad de extorsi�n est� impulsado por diversos factores, como el restablecimiento del ecosistema cibercriminal tras un a�o tumultuoso en 2022, nuevos participantes y nuevas asociaciones y ofertas de servicios de ransomware por parte de actores previamente asociados con grupos prol�ficos que hab�an sido desarticulados."

Fuente: thehackernews