Affiliati di ransomware Ryuk che sfruttano il bug MSHTML di Windows

I ricercatori di sicurezza Microsoft hanno avvertito che la vulnerabilità ora patchata con MSHTML sui sistemi Windows 10 è già stata attivamente sfruttata dagli attori delle minacce che utilizzano il ransomware Ryuk.

Microsoft ha collaborato con i ricercatori sulla sicurezza di RiskIQ per portare alla luce una campagna che utilizza il pericoloso ransomware Ryuk. Una volta che gli hacker abusano del difetto di esecuzione del codice remoto, che Microsoft ha già corretto, distribuiranno il payload del ransomware sui sistemi compromessi.

Come per molte vulnerabilità simili scoperte in passato, la vulnerabilità richiede che la vittima apra un documento Microsoft Office dannoso e su misura per funzionare. Abbiamo trattato il problema e la patch rilasciata da Microsoft intorno al Patch Tuesday di questo mese all'inizio di questa settimana. Il bug in questione ha consentito ai malintenzionati di incorporare un controllo ActiveX dannoso all'interno di un documento di Office, che viene poi utilizzato per compromettere il sistema della vittima.

La ricerca su questa campagna di Ryuk ha mostrato che gli hacker inizialmente avrebbero utilizzato la vulnerabilità MSHTML CVE-2021-40444, quindi avrebbero distribuito i beacon loader Cobalt Strike. I caricatori a loro volta comunicherebbero con l'infrastruttura dei criminali, la stessa che è stata utilizzata in diversi attacchi ransomware passati.

Secondo RiskIQ, l'infrastruttura utilizzata in questo ultimo attacco è gestita da Wizard Spider, un ransomware che utilizza Ryuk e che si ritiene operi fuori dalla Russia. I ricercatori hanno basato le loro conclusioni sui modelli e sull'uso del server che indicano la sovrapposizione tra questo ultimo aggressore e Wizard Spider.

Ryuk è uno dei ceppi più famigerati di ransomware che viene ancora utilizzato oggi. È in circolazione dal 2018 e i suoi operatori hanno incassato milioni di dollari in riscatto da molteplici attacchi riusciti di alto profilo. Ryuk e la banda che lo gestisce hanno fatto un passo indietro quando il gruppo REvil e DarkSide ha fatto notizia nell'anno in corso, con diversi attacchi di alto profilo, tra cui Colonial Pipeline e, più recentemente, l'attacco REvil contro Kaseya.