रयूक रैंसमवेयर सहयोगी विंडोज़ एमएसएचटीएमएल बग का शोषण कर रहे हैं

Microsoft सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि विंडोज 10 सिस्टम पर MSHTML के साथ अब-पैच की गई भेद्यता का पहले से ही रयूक रैंसमवेयर का उपयोग करने वाले खतरे वाले अभिनेताओं द्वारा सक्रिय रूप से शोषण किया जा चुका है।

माइक्रोसॉफ्ट RiskIQ से सुरक्षा शोधकर्ताओं के साथ संयुक्त रूप से काम किया, एक ऐसा अभियान खतरनाक रोजगार पता लगाने के लिए Ryuk रैंसमवेयर । एक बार जब हैकर्स रिमोट कोड निष्पादन दोष का दुरुपयोग करते हैं, जिसे माइक्रोसॉफ्ट ने पहले ही पैच कर दिया है, तो वे समझौता किए गए सिस्टम पर रैंसमवेयर पेलोड को तैनात करेंगे।

जैसा कि अतीत में खोजी गई कई समान कमजोरियों के साथ, भेद्यता को पीड़ित को काम करने के लिए एक दुर्भावनापूर्ण, दर्जी-निर्मित Microsoft Office दस्तावेज़ खोलने की आवश्यकता होती है। हमने इस सप्ताह की शुरुआत में इस महीने के पैच के आसपास Microsoft द्वारा जारी किए गए मुद्दे और पैच को कवर किया। विचाराधीन बग ने खराब अभिनेताओं को एक कार्यालय दस्तावेज़ के अंदर एक दुर्भावनापूर्ण ActiveX नियंत्रण एम्बेड करने की अनुमति दी, जिसका उपयोग पीड़ित के सिस्टम से समझौता करने के लिए किया जाता है।

इस रयूक अभियान के शोध से पता चला है कि हैकर्स शुरू में CVE-2021-40444 MSHTML भेद्यता का उपयोग करेंगे, फिर कोबाल्ट स्ट्राइक बीकन लोडर को तैनात करेंगे। लोडर बदले में अपराधियों के बुनियादी ढांचे के साथ संवाद करेंगे - वही जो पिछले कई रैंसमवेयर हमलों में इस्तेमाल किया गया है।

रिस्कआईक्यू के अनुसार, इस नवीनतम हमले में उपयोग किए गए बुनियादी ढांचे को विज़ार्ड स्पाइडर द्वारा संचालित किया जाता है - एक रैंसमवेयर संगठन जो रयूक का उपयोग करता है और माना जाता है कि रूस से बाहर संचालित होता है। शोधकर्ताओं ने पैटर्न और सर्वर के आधार पर अपने निष्कर्ष इस नवीनतम हमलावर और विज़ार्ड स्पाइडर के बीच ओवरलैपिंग के लिए उस बिंदु का उपयोग किया।

रयूक रैंसमवेयर के सबसे कुख्यात उपभेदों में से एक है जिसका आज भी उपयोग किया जा रहा है। यह 2018 के आसपास से है और इसके संचालकों ने कई हाई-प्रोफाइल सफल हमलों से फिरौती में लाखों डॉलर की कमाई की है। Ryuk और इसे चलाने वाले गिरोह ने एक कदम पीछे ले लिया है क्योंकि REvil और DarkSide समूह ने चालू वर्ष में कई हाई-प्रोफाइल हमलों के साथ सुर्खियां बटोरीं, जिनमें औपनिवेशिक पाइपलाइन और हाल ही में, Kasya के खिलाफ REvil हमले शामिल हैं