Ransomware Black Basta khai thác lỗ hổng Zero-Day của Windows

Các chuyên gia Symantec phát hiện bằng chứng cho thấy nhóm ransomware Black Basta khai thác lỗ hổng CVE-2024-26169 trong Dịch vụ Báo cáo Lỗi Windows (Error Reporting Service). Lỗ hổng zero-day này cho phép leo thang đặc quyền trên các hệ thống bị xâm nhập.

CVE-2024-26169 được vá từ tháng 3/2024. Tuy nhiên, theo kết quả điều tra, lỗ hổng đã bị khai thác trong các cuộc tấn công ransomware Black Basta trước khi có bản vá.

Black Basta được cho là điều hành bởi nhóm hacker Cardinal (còn gọi là Storm-1811 hoặc UNC4393). Ransomware xuất hiện lần đầu vào tháng 4/2022, đã tàn phá nhiều hệ thống trên toàn thế giới. Ban đầu, Black Basta có liên kết chặt chẽ với mạng botnet Qakbot, một mạng lưới phân phối mã độc lớn. Tuy nhiên, sau một đợt triệt phá của cơ quan thực thi pháp luật đối với Qakbot vào tháng 8/2023, nhóm này đã thay đổi chiến thuật và hiện đang cộng tác với những kẻ điều hành loader DarkGate để tiếp tục các hoạt động độc hại.

Nguồn: Security Online