Black Basta ha utilizzato una Vulnerabilità Zero-Day in Windows per distribuire il ransomware

Redazione RHC : 20 Giugno 2024 07:39

I ricercatori Symantec hanno scoperto che gli aggressori associati al ransomware Black Basta stavano sfruttando una vulnerabilità appena scoperta nel servizio Windows Error Reporting (WER) per ottenere privilegi di sistema elevati. Questa vulnerabilità, nota come CVE-2024-26169, è stata risolta da Microsoft a marzo 2024.

Il CVE-2024-26169 è una vulnerabilità di escalation dei privilegi con un punteggio CVSS di 7,8. Consente agli aggressori di ottenere i diritti di amministratore di sistema. L’analisi dello strumento di exploit utilizzato negli attacchi recenti ha mostrato che la compilazione potrebbe essere stata completata prima che la vulnerabilità fosse stata corretta, indicando che era utilizzata come vulnerabilità zeroday.

Symantec sta monitorando questo gruppo motivato finanziariamente chiamato Cardinal, noto anche come Storm-1811 e UNC4393. Questi aggressori utilizzano Black Basta per monetizzare l’accesso ai sistemi, spesso ottenendo l’accesso iniziale tramite QakBot e DarkGate.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Negli ultimi mesi, il gruppo ha utilizzato prodotti Microsoft legittimi come Quick Assist e Teams per attaccare gli utenti. Secondo Microsoft, gli aggressori inviano messaggi e chiamate tramite Teams fingendo di essere personale IT, portando all’uso improprio di Quick Assist, al furto di credenziali tramite EvilProxy e all’utilizzo di SystemBC per fornire accesso persistente e controllo dei comandi.

Symantec ha inoltre affermato di aver osservato lo strumento utilizzato in un tentativi di attacco ransomware. Gli aggressori utilizzano il file “werkernel.sys“, che crea chiavi di registro con un descrittore di sicurezza nullo. Ciò consente di creare una chiave di registro che avvia una shell di comandi con diritti amministrativi.

Un portavoce di Microsoft ha confermato che il problema è stato risolto a marzo e che i clienti che hanno installato la correzione sono protetti. Il software di sicurezza proprietario include strumenti per rilevare e proteggersi da questo malware.

Fortunatamente, la tempestiva patch di Microsoft ha impedito gravi attacchi, ma l’incidente serve a ricordare la crescente importanza della protezione dalle minacce informatiche.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli