La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad de alta severidad en Windows, explotada en ataques de ransomware, a su catálogo de fallos de seguridad activamente explotados. La vulnerabilidad, rastreada como CVE-2024-26169, se debe a una debilidad en la gestión de privilegios del servicio de Reporte de Errores de Windows. La explotación exitosa permite a los atacantes locales obtener permisos de SISTEMA en ataques de baja complejidad que no requieren interacción del usuario.
Detalles Técnicos y Explotación
Microsoft abordó esta vulnerabilidad el 12 de marzo de 2024 durante sus actualizaciones mensuales de Patch Tuesday. No obstante, la compañía aún no ha actualizado su aviso de seguridad para etiquetar la vulnerabilidad como explotada en ataques. Investigadores de seguridad de Symantec encontraron evidencia de que los operadores de la banda de ransomware Black Basta (también conocidos como UNC4394 y Storm-1811) probablemente utilizaron esta vulnerabilidad como un zero-day en sus ataques.
Symantec descubrió que una variante de la herramienta de explotación CVE-2024-26169 utilizada en estos ataques tenía una marca de tiempo de compilación del 27 de febrero, mientras que una segunda muestra fue compilada incluso antes, el 18 de diciembre de 2023. Aunque estas marcas de tiempo pueden ser modificadas, los investigadores consideran poco probable que los atacantes lo hayan hecho intencionalmente.
Plazo para Asegurar Sistemas Vulnerables
CISA ha dado a las agencias del Poder Ejecutivo Federal Civil (FCEB) tres semanas, hasta el 4 de julio, para parchear la vulnerabilidad CVE-2024-26169 y prevenir ataques de ransomware que podrían apuntar a sus redes. Aunque la directiva solo se aplica a las agencias federales, CISA también insta encarecidamente a todas las organizaciones a priorizar la corrección de esta falla, advirtiendo que “este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal”.
Contexto y Antecedentes del Grupo Black Basta
Black Basta emergió como una operación de Ransomware-as-a-Service (RaaS) en abril de 2022, tras la división de la banda de ciberdelincuencia Conti en múltiples facciones después de una serie de vergonzosas filtraciones de datos. Desde entonces, el grupo ha atacado a numerosas víctimas de alto perfil, incluidas empresas como Rheinmetall, Capita, la Biblioteca Pública de Toronto, la Asociación Dental Americana, el contratista gubernamental ABB, la división europea de Hyundai, Yellow Pages Canada y el gigante de la atención médica de EE.UU. Ascension.
CISA y el FBI revelaron que los afiliados al ransomware Black Basta han hackeado más de 500 organizaciones hasta mayo de 2024, encriptando sistemas y robando datos de al menos 12 sectores críticos de infraestructura de EE.UU. Según investigaciones de Corvus Insurance y la empresa de ciberseguridad Elliptic, Black Basta recaudó al menos 100 millones de dólares en pagos de rescate de más de 90 víctimas hasta noviembre de 2023.
Conclusión
La advertencia de CISA subraya la importancia de parchear rápidamente las vulnerabilidades de seguridad conocidas para proteger las redes contra ataques de ransomware. Las organizaciones deben estar vigilantes y priorizar la corrección de fallas críticas para mitigar los riesgos significativos que representan estos actores cibernéticos maliciosos.
Este artículo proporciona una visión general de la reciente advertencia de CISA sobre la vulnerabilidad de Windows CVE-2024-26169, explotada en ataques de ransomware, y destaca la importancia de actualizar y parchear los sistemas de manera oportuna para protegerse contra amenazas cibernéticas emergentes.
