Os atores de ameaças vinculados ao ransomware Black Basta podem ter explorado uma falha de escalonamento de privilégios recentemente divulgada no Microsoft Home windows Error Reporting Service como um dia zero, de acordo com novas descobertas da Symantec.
A falha de segurança em questão é CVE-2024-26169 (pontuação CVSS: 7,8), um bug de elevação de privilégio no Serviço de Relatório de Erros do Home windows que pode ser explorado para obter privilégios de SYSTEM. Foi corrigido pela Microsoft em março de 2024.
“A análise de uma ferramenta de exploração implantada em ataques recentes revelou evidências de que ela poderia ter sido compilada antes da correção, o que significa que pelo menos um grupo pode estar explorando a vulnerabilidade como um dia zero”, disse a equipe Symantec Risk Hunter, parte da Broadcom. disse em um relatório compartilhado com The Hacker Information.
O cluster de ameaças com motivação financeira está sendo rastreado pela empresa sob o nome Cardinal, e também conhecido como Storm-1811 e UNC4393.
É conhecido por monetizar o acesso implantando o ransomware Black Basta, geralmente aproveitando o acesso inicial obtido por outros invasores – inicialmente QakBot e depois DarkGate – para violar os ambientes alvo.
Nos últimos meses, o agente da ameaça foi observado usando produtos legítimos da Microsoft, como Fast Help e Microsoft Groups, como vetores de ataque para infectar usuários.
“O ator da ameaça usa o Groups para enviar mensagens e iniciar chamadas na tentativa de se passar por pessoal de TI ou de suporte técnico”, disse a Microsoft. “Esta atividade leva ao uso indevido do Fast Help, seguido de roubo de credenciais usando EvilProxy, execução de scripts em lote e uso de SystemBC para persistência e comando e controle.”
A Symantec disse que observou a ferramenta de exploração sendo usada como parte de uma tentativa de ataque de ransomware, mas sem sucesso.
A ferramenta “aproveita o fato de que o arquivo werkernel.sys do Home windows usa um descritor de segurança nulo ao criar chaves de registro”, explicou.
“A exploração aproveita isso para criar uma chave de registro 'HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFault.exe' onde outline o valor 'Debugger' como seu próprio nome de caminho executável. Isso permite que o exploit para iniciar um shell com privilégios administrativos.”
A análise de metadados do artefato mostra que ele foi compilado em 27 de fevereiro de 2024, várias semanas antes de a vulnerabilidade ser corrigida pela Microsoft, enquanto outra amostra descoberta no VirusTotal tinha um carimbo de knowledge/hora de compilação de 18 de dezembro de 2023.
Embora os agentes de ameaças sejam propensos a alterar os carimbos de knowledge/hora de arquivos e diretórios em um sistema comprometido para ocultar suas ações ou impedir investigações – uma técnica conhecida como carimbo de knowledge/hora – a Symantec apontou que provavelmente há muito poucos motivos para fazer isso neste caso.
O desenvolvimento ocorre em meio ao surgimento de uma nova família de ransomware chamada DORRA, que é uma variante da família de malware Makop, à medida que os ataques de ransomware continuam a ter uma espécie de renascimento após uma queda em 2022.
De acordo com a Mandiant, de propriedade do Google, a epidemia de ransomware testemunhou um aumento de 75% nas postagens em websites de vazamento de dados, com mais de US$ 1,1 bilhão pagos aos invasores em 2023, acima dos US$ 567 milhões em 2022 e US$ 983 milhões em 2021.
“Isso ilustra que a ligeira queda na atividade de extorsão observada em 2022 foi uma anomalia, potencialmente devido a fatores como a invasão da Ucrânia e o vazamento de bate-papos de Conti”, disse a empresa.
“O atual ressurgimento da atividade de extorsão é provavelmente impulsionado por vários fatores, incluindo o restabelecimento do ecossistema do crime cibernético após um ano tumultuado em 2022, novos participantes e novas parcerias e ofertas de serviços de ransomware por atores anteriormente associados a grupos prolíficos que foram perturbados. .”
