Ryuk Ransomware-filialen die misbruik maken van Windows MSHTML-bug

Microsoft-beveiligingsonderzoekers waarschuwden dat de nu gepatchte kwetsbaarheid met MSHTML op Windows 10-systemen al actief is misbruikt door bedreigingsactoren die de Ryuk-ransomware gebruiken.

Microsoft werkte samen met beveiligingsonderzoekers van RiskIQ om een campagne op te sporen die gebruikmaakt van de gevaarlijke Ryuk-ransomware. Zodra hackers misbruik maken van de fout bij het uitvoeren van externe code, die Microsoft al heeft gepatcht, zouden ze de ransomware-payload op de aangetaste systemen inzetten.

Zoals met veel vergelijkbare kwetsbaarheden die in het verleden zijn ontdekt, moet het slachtoffer een kwaadaardig, op maat gemaakt Microsoft Office-document openen om te werken. We hebben het probleem en de patch besproken die Microsoft eerder deze week rond Patch Tuesday van deze maand heeft uitgebracht. Door de bug in kwestie konden kwaadwillenden een kwaadaardig ActiveX-besturingselement insluiten in een Office-document, dat vervolgens wordt gebruikt om het systeem van het slachtoffer te compromitteren.

Het onderzoek naar deze Ryuk-campagne toonde aan dat hackers in eerste instantie de CVE-2021-40444 MSHTML-kwetsbaarheid zouden gebruiken en vervolgens Cobalt Strike beacon loaders zouden inzetten. De laders zouden op hun beurt communiceren met de infrastructuur van de criminelen - dezelfde die is gebruikt in verschillende eerdere ransomware-aanvallen.

Volgens RiskIQ wordt de infrastructuur die bij deze laatste aanval wordt gebruikt, beheerd door Wizard Spider - een ransomware-outfit die Ryuk gebruikt en waarvan wordt aangenomen dat deze vanuit Rusland opereert. De onderzoekers baseerden hun conclusies op patronen en servergebruik die wijzen op overlap tussen deze nieuwste aanvaller en Wizard Spider.

Ryuk is een van de meest beruchte soorten ransomware die vandaag de dag nog steeds wordt gebruikt. Het bestaat al sinds 2018 en de operators hebben miljoenen dollars aan losgeld binnengehaald van meerdere succesvolle succesvolle aanvallen. Ryuk en de bende die het runt, hebben een beetje een stap terug gedaan toen REvil en DarkSide- groep de krantenkoppen haalden in het lopende jaar, met verschillende spraakmakende aanvallen, waaronder Colonial Pipeline en meest recentelijk de REvil-aanval op Kaseya.