Ryuk Ransomware Affiliates Udnytter Windows MSHTML Bug

Microsofts sikkerhedsforskere advarede om, at den nu patched sårbarhed med MSHTML på Windows 10-systemer allerede er blevet aktivt udnyttet af trusselsaktører, der bruger Ryuk-ransomware.

Microsoft arbejdede sammen med sikkerhedsforskere fra RiskIQ for at finde frem til en kampagne, der anvender den farlige Ryuk -ransomware. Når hackere har misbrugt fejlen ved fjernudførelse af kode, som Microsoft allerede har lappet, ville de implementere ransomware -nyttelasten på de kompromitterede systemer.

Som med mange lignende sårbarheder, der tidligere blev opdaget, har sårbarheden behov for, at offeret åbner et ondsindet, skræddersyet Microsoft Office-dokument for at fungere. Vi dækkede problemet og den patch, som Microsoft udstedte omkring denne måneds patch -tirsdag tidligere på ugen. Den pågældende fejl gav dårlige aktører mulighed for at integrere en ondsindet ActiveX -kontrol i et Office -dokument, som derefter bruges til at kompromittere offerets system.

Undersøgelsen af denne Ryuk-kampagne viste, at hackere i første omgang ville bruge CVE-2021-40444 MSHTML-sårbarheden og derefter implementere Cobalt Strike beacon-læssere. Lasterne ville til gengæld kommunikere med de kriminelles infrastruktur - den samme, som er blevet brugt i flere tidligere ransomware -angreb.

Ifølge RiskIQ drives den infrastruktur, der blev brugt i dette seneste angreb, af Wizard Spider - et ransomware -outfit, der bruger Ryuk og menes at fungere uden for Rusland. Forskerne baserede deres konklusioner på mønstre og serverbrug, der peger på overlapning mellem denne seneste angriber og Wizard Spider.

Ryuk er en af de mest berygtede stammer af ransomware, der stadig bruges i dag. Det har eksisteret siden 2018, og dets operatører har indsamlet millioner af dollars i løsesum fra flere højt profilerede vellykkede angreb. Ryuk og banden kører det har taget lidt af et skridt tilbage, da REvil og Darkside gruppe gjort overskrifter i indeværende år, med flere højt profilerede angreb, herunder Colonial Pipeline og senest den REvil angreb mod Kaseya.