Você deve ter um cuidado especial porque o grupo Black Basta Ransomware está expandindo seus ataques explorando uma vulnerabilidade de escalonamento de privilégios do Windows (CVE-2024-26169) como um dia zero.
CVE-2024-26169 é uma vulnerabilidade de alto risco (CVSS v3.1 hit 7.8) que foi descoberta no Windows Error Reporting Service. Esta vulnerabilidade permite que um invasor aumente privilégios para privilégios de sistema. A Microsoft corrigiu esta vulnerabilidade na atualização mensal do patch na terça-feira, 12 de março de 2024. Como essa vulnerabilidade já havia sido explorada antes do patch, ela surgiu como um sério problema de segurança.
Um invasor pode explorar a vulnerabilidade para criar uma chave de registro e atribuir um valor “Debugger” ao executável para que ele seja executado com privilégios de SYSTEM quando o WerFault.exe for executado.
O vetor de infecção inicial é através de e-mails de phishing ou downloads maliciosos e usa o bootloader DarkGate. Este é o método que o grupo Black Basta tem usado continuamente desde a remoção do QakBot.
Após o acesso inicial, o invasor implanta um script em lote disfarçado como uma atualização de software para garantir a continuidade e executa a exploração do CVE-2024-26169 para obter o escalonamento de privilégios.
Black Basta é conhecido por estar vinculado à organização extinta Conti Ransomware e é conhecido por ataques sofisticados que exploram ferramentas do Windows e dependem de um profundo conhecimento da plataforma.
O grupo é caracterizado pelo uso de scripts agrupados disfarçados de atualizações de software para executar comandos maliciosos e manter o controle sobre os sistemas infectados.
De acordo com a análise da Symantec, foram descobertas duas variantes do exploit, compiladas em 27 de fevereiro de 2024 e 18 de dezembro de 2023. Isso indica que Black Basta estava usando esse exploit muito antes de a vulnerabilidade ser publicada.
A Black Basta tem estado muito ativa desde a sua fundação em abril de 2022, com os seus colaboradores a cometerem mais de 500 violações. Sabe-se que este grupo roubou mais de US$ 100 milhões em dinheiro de resgate em novembro de 2023.
É importante aplicar as atualizações de segurança mais recentes do Windows para mitigar os riscos associados ao CVE-2024-26169. Também recomendamos seguir as diretrizes compartilhadas pela Agência de Segurança Cibernética e de Infraestrutura (CISA) para fortalecer suas defesas contra ataques de ransomware.
O patch de março de 2024 da Microsoft corrigiu na terça-feira 60 vulnerabilidades, 18 das quais eram erros de execução remota de código (RCE) e 26 das quais eram vulnerabilidades de elevação de privilégio (EoP). CVE-2024-26169 foi um dos patches mais importantes desta versão.
Outras vulnerabilidades notáveis corrigidas em março de 2024 incluem CVE-2024-21407 (Windows Hyper-V RCE) e CVE-2024-21433 (Windows Print Spooler EoP). Ambas as vulnerabilidades podem representar riscos graves, mas não foram realmente exploradas no momento em que o patch foi lançado.
À medida que os métodos de ataque de ransomware continuam a evoluir, é importante ficar atento às novas ameaças e manter um sistema robusto de segurança cibernética.
★Dailysecu, principal mídia de segurança da Coreia!★
▷ E-mail: mkgil@dailysecu.com
▷ Detalhes do relatório: Estamos ansiosos para relatar quaisquer problemas de segurança!
▷ Consulta de publicidade: jywoo@dailysecu.com
★Dailysecu, principal mídia de segurança da Coreia!★
Copyright © Daily Sico A reprodução e redistribuição são proibidas.
“Pensador. Aspirante a amante do Twitter. Empreendedor. Fã de comida. Comunicador total. Especialista em café. Evangelista da web. Fanático por viagens. Jogador.”