Redazione RHC : 20 Giugno 2024 07:39
I ricercatori Symantec hanno scoperto che gli aggressori associati al ransomware Black Basta stavano sfruttando una vulnerabilità appena scoperta nel servizio Windows Error Reporting (WER) per ottenere privilegi di sistema elevati. Questa vulnerabilità, nota come CVE-2024-26169, è stata risolta da Microsoft a marzo 2024.
Il CVE-2024-26169 è una vulnerabilità di escalation dei privilegi con un punteggio CVSS di 7,8. Consente agli aggressori di ottenere i diritti di amministratore di sistema. L’analisi dello strumento di exploit utilizzato negli attacchi recenti ha mostrato che la compilazione potrebbe essere stata completata prima che la vulnerabilità fosse stata corretta, indicando che era utilizzata come vulnerabilità zeroday.
Symantec sta monitorando questo gruppo motivato finanziariamente chiamato Cardinal, noto anche come Storm-1811 e UNC4393. Questi aggressori utilizzano Black Basta per monetizzare l’accesso ai sistemi, spesso ottenendo l’accesso iniziale tramite QakBot e DarkGate.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Negli ultimi mesi, il gruppo ha utilizzato prodotti Microsoft legittimi come Quick Assist e Teams per attaccare gli utenti. Secondo Microsoft, gli aggressori inviano messaggi e chiamate tramite Teams fingendo di essere personale IT, portando all’uso improprio di Quick Assist, al furto di credenziali tramite EvilProxy e all’utilizzo di SystemBC per fornire accesso persistente e controllo dei comandi.
Symantec ha inoltre affermato di aver osservato lo strumento utilizzato in un tentativi di attacco ransomware. Gli aggressori utilizzano il file “werkernel.sys“, che crea chiavi di registro con un descrittore di sicurezza nullo. Ciò consente di creare una chiave di registro che avvia una shell di comandi con diritti amministrativi.
Un portavoce di Microsoft ha confermato che il problema è stato risolto a marzo e che i clienti che hanno installato la correzione sono protetti. Il software di sicurezza proprietario include strumenti per rilevare e proteggersi da questo malware.
Fortunatamente, la tempestiva patch di Microsoft ha impedito gravi attacchi, ma l’incidente serve a ricordare la crescente importanza della protezione dalle minacce informatiche.
RedazioneLa scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...
Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
