En febrero, los expertos de Kaspersky descubrieron un ataque que utilizaba una vulnerabilidad de día cero en Microsoft Common Log File System (CLFS) o Sistema de archivo de registro común en español.
Una vulnerabilidad de día cero es un error en el software para el que no se ha publicado ninguna revisión oficial o actualización de seguridad.
Un grupo de ciberdelincuentes utilizó un exploit diseñado para diferente versiones del sistema operativo Windows, incluido Windows 11, e intentó desplegar el ransomware Nokoyawa. Microsoft asignó CVE-2023-28252 a esta vulnerabilidad y la parcheó el pasado 11 de abril como parte del martes de parches.
El actor de la amenaza también intentó ejecutar exploits de elevación de privilegios similares en ataques a diferentes pequeñas y medianas empresas de Oriente Próximo y Norteamérica, y anteriormente en regiones asiáticas.
Los ciber-atacantes actualizan sus métodos
Esta vulnerabilidad se explotó con fines cibercriminales por un grupo sofisticado que realiza ataques de ransomware. Estos ataques se caracterizan por el uso de exploits únicos del Common Log File System (CLFS) y se han dirigido a sectores como el energético, manufacturero, sanitario, minorista, mayorista, de desarrollo de software y entre otros. Al menos cinco exploits diferentes se detectaron hasta ahora.
Kaspersky detecto por primera vez el CVE-2023-28252 en un ataque en el que los ciberdelincuentes intentaron desplegar una versión más reciente del ransomware Nokoyawa. Las variantes más antiguas de este ransomware eran variantes renombradas del ransomware JSWorm, pero en el ataque mencionado la variante Nokoyawa era bastante distinta de JSWorm en términos de código base.
El exploit que se utilizó en el ataque se desarrolló para soportar diferentes versiones del sistema operativo Windows. Los atacantes utilizaron la vulnerabilidad CVE-2023-28252 para elevar privilegios y robar credenciales de la base de datos Security Account Manager (SAM).
Boris Larin, investigador principal de seguridad del Global Research and Analysis Team (GReAT), afirma que los grupos de ciberdelincuentes son cada vez más sofisticados y utilizan exploits de día cero en sus ataques. Los exploits antes eran una herramienta exclusiva de los actores Amenazas Persistentes Avanzadas (APT), pero ahora hay recursos para que los ciberdelincuentes adquieran zero-days y los usen comúnmente. Además, hay desarrolladores dispuestos a ayudarlos a crear exploit tras exploit. Por eso es importante que las empresas descarguen el último parche de Microsoft lo antes posible y adopten otras medidas como soluciones EDR.
Se recomienda actualizar Microsoft Windows lo antes posible y hacerlo con regularidad, utilizar una solución de endpoints fiable y sobre todo mantenerse al tanto de las últimas noticias de ciberseguridad.
Fuente: Día-cero utilizada en los ataques del ransomware Nokoyawa