Ransomware, Zsarolóvírus, Ransom, Zsarolás, Dall-e

Black Basta a Windows hibajelentési hibáját használja ki a legújabb támadásában

June 12, 2024 Yanac Black Basta, Cardinal, CVE-2024-26169, DORRA, EvilProxy, Ransomware, Storm-1811, SystemBC, UNC4393

A Black Basta zsarolóvírushoz kapcsolódó fenyegetők potenciálisan kihasználják a Microsoft Windows hibajelentő szolgáltatásának nemrég nyilvánosságra hozott jogosultság-növelési hibáját, a CVE-2024-26169-et. Ez a sebezhetőség, amelynek CVSS pontszáma 7,8, lehetővé teszi a támadók számára a SYSTEM jogosultságok megszerzését, és amelyet a Microsoft 2024 márciusában javított. A Symantec elemzése szerint a támadásokhoz használt exploit eszköz valószínűleg a javítás kiadása előtt készült, ami arra utal, hogy a hibát nulladik napon használták ki.

A Symantec által Cardinal (más néven Storm-1811 és UNC4393) néven nyomon követett, pénzügyi motivációjú csoportról ismert, hogy a Black Basta zsarolóvírust más támadók, például a QakBot és a DarkGate kezdeti hozzáférését kihasználva telepítette. A legújabb taktikák közé tartozik a Microsoft legális termékeinek, például a Quick Assist és a Teams felhasználása az IT személyzetnek való megszemélyesítésére, ami a hitelesítő adatok ellopásához és a perzisztenciához vezet olyan eszközökkel, mint az EvilProxy és a SystemBC. A Symantec megfigyelte, hogy az exploit eszközt egy zsarolóvírus-támadási kísérlet során használták, kihasználva, hogy a Windows werkernel.sys fájl null biztonsági leírót használ a rendszergazdai jogosultságokkal rendelkező beállításkulcsok létrehozására.

A 2024 február végén összeállított exploit eszköz felfedezése rávilágít a zsarolóvírus csoportoknak a folyamatos fejlődésére és alkalmazkodóképességére. A zsarolóvírusok újbóli megjelenése, beleértve az olyan új családok megjelenését, mint a DORRA, a zsarolási tevékenységek jelentős növekedését jelzi. A Google tulajdonában lévő Mandiant arról számolt be, hogy 2023-ban 75%-kal nőtt az adatszivárgási oldalakon közzétett bejegyzések száma, és több mint 1,1 milliárd dollárt fizettek ki a támadóknak, ami azt jelzi, hogy a váltságdíj-tevékenység 2022-es visszaesése anomália volt. A zsarolás növekedését a kiberbűnözői ökoszisztéma stabilizálódásának és a fenyegető szereplők közötti új partnerségeknek tulajdonítják.

(forrás)

You May Also Like

Intenzívebb Head Mare tevékenység

A Phobos Ransomware adminisztrátorának kiadatása

A Magniber globális zsarolóvírus-kampány egyre több otthoni felhasználót vesz célba