Ryuk Ransomware Partnerzy wykorzystujący błąd Windows MSHTML

Ryuk Ransomware Partnerzy wykorzystujący błąd Windows MSHTML

Analitycy bezpieczeństwa firmy Microsoft ostrzegli, że teraz załatana luka w zabezpieczeniach MSHTML w systemach Windows 10 została już aktywnie wykorzystana przez cyberprzestępców korzystających z oprogramowania ransomware Ryuk.

Microsoft współpracował z badaczami bezpieczeństwa z RiskIQ, aby odkryć kampanię wykorzystującą niebezpieczne oprogramowanie ransomware Ryuk. Gdy hakerzy wykorzystają lukę w zdalnym wykonywaniu kodu, którą Microsoft już załatał, rozmieszczą ładunek ransomware na zaatakowanych systemach.

Podobnie jak w przypadku wielu podobnych luk w zabezpieczeniach odkrytych w przeszłości, luka ta wymaga od ofiary otwarcia złośliwego, dostosowanego do potrzeb dokumentu Microsoft Office, aby zadziałał. Omówiliśmy problem i łatkę, którą Microsoft wydał w tym miesiącu we wtorek, na początku tego tygodnia. Omawiany błąd umożliwił złym podmiotom osadzanie złośliwej kontrolki ActiveX w dokumencie pakietu Office, która jest następnie wykorzystywana do złamania zabezpieczeń systemu ofiary.

Badania nad tą kampanią Ryuk wykazały, że hakerzy początkowo wykorzystali lukę CVE-2021-40444 MSHTML, a następnie wdrożyli programy ładujące sygnały nawigacyjne Cobalt Strike. Programy ładujące z kolei komunikowałyby się z infrastrukturą przestępców — tą samą, która była wykorzystywana w kilku poprzednich atakach ransomware.

Według RiskIQ, infrastruktura użyta w tym najnowszym ataku jest obsługiwana przez Wizard Spider – oprogramowanie ransomware, które wykorzystuje Ryuka i prawdopodobnie działa poza Rosją. Naukowcy oparli swoje wnioski na wzorcach i wykorzystaniu serwerów, które wskazują na nakładanie się tego najnowszego atakującego i Wizarda Spidera.

Ryuk to jedna z najbardziej niesławnych odmian oprogramowania ransomware, która jest nadal używana. Istnieje od 2018 roku, a jego operatorzy zgarnęli miliony dolarów okupu za wiele głośnych udanych ataków. Ryuk i kierujący nim gang cofnęli się nieco, gdy grupy REvil i DarkSide znalazły się na pierwszych stronach gazet w bieżącym roku, z kilkoma głośnymi atakami, w tym Colonial Pipeline i ostatnio atakiem REvil na Kaseyę.

Loading...