Ερευνητές της Symantec υποψιάζονται ότι το ransomware Black Basta εκμεταλλευόταν την ευπάθεια Windows CVE-2024-26169, πριν κυκλοφορήσει μια ενημέρωση ασφαλείας.

Η ευπάθεια ήταν σοβαρή και η εκμετάλλευσή της επέτρεπε την απόκτηση περισσότερων προνομίων σε ένα ευάλωτο σύστημα (CVSS v3.1: 7.8). Εντοπίστηκε στο Windows Error Reporting Service και οι επιτιθέμενοι μπορούσαν να αυξήσουν  τα προνόμιά τους σε SYSTEM.

Η Microsoft διόρθωσε την εν λόγω ευπάθεια στις 12 Μαρτίου 2024, μέσω των μηνιαίων ενημερώσεων Patch Tuesday.

Σύμφωνα με αναφορά της Symantec, η ευπάθεια έχει αξιοποιηθεί ενεργά από τους χειριστές του Black Basta ransomware, πιθανότατα ως zero-day.

Δείτε επίσης: Κατάχρηση του Windows Quick Assist για διανομή του Black Basta ransomware

Windows: Εκμετάλλευση ευπάθειας από Black Basta ransomware

Η Symantec ερεύνησε μια απόπειρα επίθεσης ransomware όπου αναπτύχθηκε ένα εργαλείο εκμετάλλευσης για την CVE-2024-26169, μετά από μια αρχική μόλυνση από το DarkGate loader. Είναι γνωστό ότι το DarkGate χρησιμοποιείται από τη συμμορία Black Basta.

Επιπλέον, οι αναλυτές πιστεύουν ότι οι επιτιθέμενοι συνδέονται με το Black Basta επειδή χρησιμοποίησαν batch scripts που μεταμφιέζονται σε ενημερώσεις λογισμικού και εκτελούν κακόβουλες εντολές σε παραβιασμένα συστήματα. Αυτό αποτελεί μια κοινή τακτική για τη συμμορία.

Το Windows file werkernel.sys χρησιμοποιεί null security descriptor, κατά τη δημιουργία registry keys και αυτό ακριβώς εκμεταλλεύεται το εργαλείο εκμετάλλευσης που χρησιμοποιούν οι hackers.

Δείτε επίσης: Black Basta ransomware: Έχει παραβιάσει πάνω από 500 οργανισμούς

Στόχος του εργαλείου είναι να δημιουργήσει ένα registry key (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) και να ορίσει το “Debugger” value στο δικό του εκτελέσιμο pathname, κάτι που του επιτρέπει να εκκινήσει ένα shell με SYSTEM privileges.

Σύμφωνα με την έρευνα της Symantec, μια παραλλαγή του εργαλείου εκμετάλλευσης χρησιμοποιήθηκε στις 27 Φεβρουαρίου 2024, ενώ ένα δεύτερο δείγμα κατασκευάστηκε ακόμη νωρίτερα, στις 18 Δεκεμβρίου 2023. Αυτό σημαίνει ότι η συμμορία ransomware Black Basta διέθετε ένα λειτουργικό εργαλείο εκμετάλλευσης περίπου 14 με 85 ημέρες προτού η Microsoft διορθώσει την ευπάθεια Windows.

Οι χρονικές σημάνσεις σε portable executables μπορούν να τροποποιηθούν, ωστόσο, πιστεύεται ότι οι απόπειρες εκμετάλλευσης έγιναν όντως τότε.

Το Black Basta ransomware είναι αρκετά δημοφιλές και πιστεύεται ότι συνδέεται με το πλέον ανενεργό Conti. Έχει συνδεθεί με πολλές επιθέσεις σε Windows συστήματα.

Δείτε επίσης: Black Basta και Bl00dy ransomware στοχεύουν το ScreenConnect

Η ανακάλυψη της χρήσης zero-day exploits από τη ransomware συμμορία Black Basta έχει εγείρει ανησυχίες μεταξύ των ειδικών στον τομέα της κυβερνοασφάλειας σχετικά με το εξελισσόμενο τοπίο απειλών. Καθώς οι εγκληματίες του κυβερνοχώρου γίνονται πιο εξελιγμένοι, γίνεται όλο και πιο δύσκολο για τους οργανισμούς να αμυνθούν από επιθέσεις.

Αυτό το περιστατικό υπογραμμίζει επίσης τη σημασία των τακτικών ενημερώσεων λογισμικού και της άμεσης επιδιόρθωσης ευπαθειών. Η τεχνολογία προοδεύει και είναι επιτακτική ανάγκη να δώσουμε προτεραιότητα στην ενίσχυση της άμυνάς μας έναντι των κυβερνοεπιθέσεων.

Πηγή: www.bleepingcomputer.com