Rançongiciel : quand Black Basta exploitait une vulnérabilité inédite

Les cybercriminels s’engouffrent rapidement dans la brèche dès qu’une vulnérabilité est connue et fait l’objet d’un démonstrateur d’exploitation (PoC, pour Proof-of-Concept). 

C’est désormais bien établi et particulièrement vrai pour les vulnérabilités susceptibles de permettre d’obtenir un accès initial ou d’élever les privilèges sur un hôte, comme avec la CVE-2024-26169. 

Mais l’exploitation de vulnérabilités inédites (ou 0day) par des cybercriminels est plus rare, même si le groupe Cl0p en a fait la démonstration à plusieurs reprises, notamment en 2023, mais dans les faits depuis la fin 2020. 

Selon Symantec, Black Basta, aussi suivi sous les désignations Storm-1811 et UNC4393, aurait lui aussi eu accès à une 0day, la CVE-2024-26169. Exploitée avec succès, elle permet donc à l’assaillant d’élever ses privilèges sur l’hôte compromis. Microsoft l’a corrigée en mars dernier. 

Outre-Atlantique, l’agence de cyberdéfense, la Cisa, vient d’ajouter cette vulnérabilité à son catalogue recensant celles connues pour être exploitées, laissant aux administrations fédérales américaines jusqu’au 4 juillet pour appliquer les correctifs.

Dans un billet de blog, les chercheurs de Symantec expliquent avoir observé le déploiement de l’outil d’exploitation associé à cette vulnérabilité « lors d’une récente tentative d’attaque par ransomware examinée par l’équipe Threat Hunter de Symantec ». 

Les attaquants n’ont « pas réussi à déployer une charge utile de ransomware lors de cette attaque », mais « les tactiques, techniques et procédures (TTP) utilisées étaient très similaires à celles décrites dans un récent rapport de Microsoft détaillant l’activité de Black Basta. Il s’agit notamment de l’utilisation de scripts batch se faisant passer pour des mises à jour de logiciels ». 

Pour Symantec, il apparaît dès lors « hautement probable » que l’attaquant observé compte parmi les associés de l’enseigne Black Basta.

L’un des échantillons examinés par Symantec a été compilé le 18 décembre 2023, et un second le 27 février 2024, relève Bleeping Computer. Mais le groupe Black Basta semble s’être offert une longue pause à la fin décembre 2023, pour revenir aux affaires un mois plus tard. 

Entre le 27 février et le 12 mars, Black Basta a fait 15 victimes (ayant été revendiquées), dont les données ont été divulguées. Entre le 18 décembre et le 26 février, nous en avons relevé 35.