Партньори на Ryuk Ransomware Използване на грешка в...

Партньори на Ryuk Ransomware Използване на грешка в Windows MSHTML

Изследователите по сигурността на Microsoft предупредиха, че сега закърпената уязвимост с MSHTML в системите на Windows 10 вече е била активно експлоатирана от участници в заплахите, използващи рансъмуера на Ryuk.

Microsoft работи съвместно с изследователи по сигурността от RiskIQ, за да открие кампания, използваща опасния рансъмуер на Ryuk . След като хакерите злоупотребят с недостатъка при отдалечено изпълнение на код, който Microsoft вече е закърпил, те ще разгърнат полезния товар от ransomware в компрометираните системи.

Както при много подобни уязвимости, открити в миналото, уязвимостта се нуждае от жертвата, за да отвори злонамерен, специално пригоден документ на Microsoft Office, за да работи. Разгледахме въпроса и корекцията, която Microsoft издаде около Patch за този месец във вторник по -рано тази седмица. Въпросната грешка позволи на лошите участници да вградят злонамерен ActiveX контрол в документ на Office, който след това се използва за компрометиране на системата на жертвата.

Изследването на тази кампания на Ryuk показа, че хакерите първоначално ще използват уязвимостта CVE-2021-40444 MSHTML, след което ще внедрят зареждащи устройства за маяци Cobalt Strike. Товарачите от своя страна ще комуникират с инфраструктурата на престъпниците - същата, която е била използвана в няколко минали атаки срещу ransomware.

Според RiskIQ, инфраструктурата, използвана в тази последна атака, се управлява от Wizard Spider - екипировка за ransomware, която използва Ryuk и се смята, че работи извън Русия. Изследователите основават заключенията си на модели и използване на сървъра, което сочи припокриване между този последен нападател и Wizard Spider.

Ryuk е един от най -скандалните видове рансъмуер, който се използва и до днес. Той съществува от 2018 г. и неговите оператори са спечелили милиони долари като откуп от множество известни успешни атаки. Рюк и бандата, която го управлява, се отдръпна малко назад, тъй като REvil и групата DarkSide станаха заглавия през текущата година, с няколко високопоставени атаки, включително Colonial Pipeline и наскоро, атаката REvil срещу Kaseya .

Зареждане...