mdbildes - stock.adobe.com

Rançongiciel : quand Black Basta exploitait une vulnérabilité inédite

Selon Symantec, le groupe Black Basta a mené des cyberattaques en exploitant la vulnérabilité CVE-2024-26169 de Windows avant qu’elle ne soit corrigée par Microsoft, le 12 mars. C’était alors encore ce que l’on appelle un 0day.

Les cybercriminels s’engouffrent rapidement dans la brèche dès qu’une vulnérabilité est connue et fait l’objet d’un démonstrateur d’exploitation (PoC, pour Proof-of-Concept). 

C’est désormais bien établi et particulièrement vrai pour les vulnérabilités susceptibles de permettre d’obtenir un accès initial ou d’élever les privilèges sur un hôte, comme avec la CVE-2024-26169. 

Mais l’exploitation de vulnérabilités inédites (ou 0day) par des cybercriminels est plus rare, même si le groupe Cl0p en a fait la démonstration à plusieurs reprises, notamment en 2023, mais dans les faits depuis la fin 2020. 

Selon Symantec, Black Basta, aussi suivi sous les désignations Storm-1811 et UNC4393, aurait lui aussi eu accès à une 0day, la CVE-2024-26169. Exploitée avec succès, elle permet donc à l’assaillant d’élever ses privilèges sur l’hôte compromis. Microsoft l’a corrigée en mars dernier. 

Outre-Atlantique, l’agence de cyberdéfense, la Cisa, vient d’ajouter cette vulnérabilité à son catalogue recensant celles connues pour être exploitées, laissant aux administrations fédérales américaines jusqu’au 4 juillet pour appliquer les correctifs.

Dans un billet de blog, les chercheurs de Symantec expliquent avoir observé le déploiement de l’outil d’exploitation associé à cette vulnérabilité « lors d’une récente tentative d’attaque par ransomware examinée par l’équipe Threat Hunter de Symantec ». 

Les attaquants n’ont « pas réussi à déployer une charge utile de ransomware lors de cette attaque », mais « les tactiques, techniques et procédures (TTP) utilisées étaient très similaires à celles décrites dans un récent rapport de Microsoft détaillant l’activité de Black Basta. Il s’agit notamment de l’utilisation de scripts batch se faisant passer pour des mises à jour de logiciels ». 

Pour Symantec, il apparaît dès lors « hautement probable » que l’attaquant observé compte parmi les associés de l’enseigne Black Basta.

L’un des échantillons examinés par Symantec a été compilé le 18 décembre 2023, et un second le 27 février 2024, relève Bleeping Computer. Mais le groupe Black Basta semble s’être offert une longue pause à la fin décembre 2023, pour revenir aux affaires un mois plus tard

Entre le 27 février et le 12 mars, Black Basta a fait 15 victimes (ayant été revendiquées), dont les données ont été divulguées. Entre le 18 décembre et le 26 février, nous en avons relevé 35.

Pour approfondir sur Menaces, Ransomwares, DDoS