¿Sabías que una vulnerabilidad no descubierta en tu sistema operativo podría ser la puerta de entrada para un devastador ataque de ransomware? Black Basta, una sofisticada variante de ransomware, se sospecha ha estado explotando precisamente una vulnerabilidad de escalada de privilegios en Windows (CVE-2024-26169) como un ataque de día cero antes de que se dispusiera de una solución.
La vulnerabilidad, clasificada con alta gravedad (CVSS v3.1: 7.8), se encuentra en el Servicio de Informe de Errores de Windows y permite a los atacantes elevar sus privilegios a nivel SISTEMA. Microsoft abordó este problema el 12 de marzo de 2024 mediante sus actualizaciones mensuales del martes de parches. Según la página del proveedor, no se ha detectado ninguna explotación activa de esta vulnerabilidad.
Un informe revela que CVE-2024-26169 ha sido explotado activamente por el grupo de cibercrimen Cardinal (Storm-1811, UNC4394) y los operadores del ransomware Black Basta, sugiriendo que probablemente fue utilizado como un ataque de día cero.
Conoce más sobre: ¿Qué es un Ataque de Día Cero? Definición y Explicación
Una investigación reciente reveló un intento de ataque de ransomware en el que se implementó una herramienta de explotación para CVE-2024-26169, tras una infección inicial por parte del cargador DarkGate, que Black Basta ha estado utilizando desde la eliminación de QakBot.
Se cree que los atacantes están vinculados a Black Basta debido a que utilizaron scripts por lotes disfrazados como actualizaciones de software, diseñados para ejecutar comandos maliciosos y establecer persistencia en sistemas comprometidos, una táctica comúnmente asociada con este grupo.
La herramienta de explotación observada aprovechó el hecho de que el archivo de Windows werkernel.sys utiliza un descriptor de seguridad nulo al crear claves de registro.
Esta herramienta crea una clave de registro (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) y establece el valor "Debugger" en su propio nombre de ruta ejecutable, permitiendo así el inicio de un shell con privilegios de SISTEMA.
Un aspecto notable de los hallazgos es que una variante de la herramienta de explotación tiene una marca de tiempo de compilación fechada el 27 de febrero de 2024, mientras que una segunda muestra se creó aún antes, el 18 de diciembre de 2023.
Esto indica que Black Basta poseía una herramienta de explotación funcional entre 14 y 85 días antes de que Microsoft finalmente implementara una solución para el problema de elevación de privilegios.
Aunque las marcas de tiempo en los ejecutables portátiles se pueden modificar, lo que hace que el hallazgo no sea concluyente respecto a si se produjo explotación de día cero, parece poco probable que los atacantes falsifiquen estas marcas de tiempo, por lo que el escenario es creíble.
Black Basta, una operación de ransomware que se cree vinculada al desaparecido sindicato de delitos cibernéticos Conti, ha demostrado anteriormente su habilidad en el abuso de herramientas de Windows y un conocimiento profundo de la plataforma.
Un informe de mayo de 2024 de CISA y el FBI destacó el gran volumen de actividad de Black Basta, responsabilizando a sus afiliados de 500 infracciones desde abril de 2022, momento de su lanzamiento. La empresa de análisis de blockchain Elliptic informó en noviembre de 2023 que la operación de ransomware había generado más de 100 millones de dólares en pagos de rescate. Para mitigar el uso de esta vulnerabilidad por parte de Black Basta, es esencial aplicar la última actualización de seguridad de Windows y seguir las pautas compartidas por CISA.
Te podrá interesar leer: Importancia del Estudio de Vulnerabilidades en una Empresa
Dada la naturaleza sofisticada de los ataques de Black Basta, es crucial que las organizaciones implementen medidas proactivas para prevenir y mitigar estos ataques. Aquí te presentamos algunas estrategias clave:
Podría interesarte leer: Características clave de TecnetProtect: BaaS
El ransomware Black Basta representa una amenaza significativa en el panorama de ciberseguridad. Su capacidad para explotar vulnerabilidades zero-day y causar interrupciones graves hace que sea una preocupación crítica para organizaciones de todos los tamaños. Al implementar medidas proactivas de seguridad y estar preparados para responder a incidentes, las empresas pueden reducir el riesgo de ser víctimas de este tipo de ataques devastadores.
La clave para protegerse contra amenazas como Black Basta es mantenerse informado sobre las últimas tácticas y vulnerabilidades utilizadas por los atacantes, y adoptar una postura de seguridad proactiva y multi-capa. La ciberseguridad es un esfuerzo continuo, y solo mediante la vigilancia constante y la preparación podemos defendernos eficazmente contra las amenazas emergentes en el ciberespacio.