Redazione RHC : 20 Giugno 2024 07:39
I ricercatori Symantec hanno scoperto che gli aggressori associati al ransomware Black Basta stavano sfruttando una vulnerabilità appena scoperta nel servizio Windows Error Reporting (WER) per ottenere privilegi di sistema elevati. Questa vulnerabilità, nota come CVE-2024-26169, è stata risolta da Microsoft a marzo 2024.
Il CVE-2024-26169 è una vulnerabilità di escalation dei privilegi con un punteggio CVSS di 7,8. Consente agli aggressori di ottenere i diritti di amministratore di sistema. L’analisi dello strumento di exploit utilizzato negli attacchi recenti ha mostrato che la compilazione potrebbe essere stata completata prima che la vulnerabilità fosse stata corretta, indicando che era utilizzata come vulnerabilità zeroday.
Symantec sta monitorando questo gruppo motivato finanziariamente chiamato Cardinal, noto anche come Storm-1811 e UNC4393. Questi aggressori utilizzano Black Basta per monetizzare l’accesso ai sistemi, spesso ottenendo l’accesso iniziale tramite QakBot e DarkGate.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Negli ultimi mesi, il gruppo ha utilizzato prodotti Microsoft legittimi come Quick Assist e Teams per attaccare gli utenti. Secondo Microsoft, gli aggressori inviano messaggi e chiamate tramite Teams fingendo di essere personale IT, portando all’uso improprio di Quick Assist, al furto di credenziali tramite EvilProxy e all’utilizzo di SystemBC per fornire accesso persistente e controllo dei comandi.
Symantec ha inoltre affermato di aver osservato lo strumento utilizzato in un tentativi di attacco ransomware. Gli aggressori utilizzano il file “werkernel.sys“, che crea chiavi di registro con un descrittore di sicurezza nullo. Ciò consente di creare una chiave di registro che avvia una shell di comandi con diritti amministrativi.
Un portavoce di Microsoft ha confermato che il problema è stato risolto a marzo e che i clienti che hanno installato la correzione sono protetti. Il software di sicurezza proprietario include strumenti per rilevare e proteggersi da questo malware.
Fortunatamente, la tempestiva patch di Microsoft ha impedito gravi attacchi, ma l’incidente serve a ricordare la crescente importanza della protezione dalle minacce informatiche.
RedazioneIl CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...
Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...
Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
