Licencje na wiele urządzeń (rabaty zbiorcze)

Zmieniać region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Computer Security Ryuk Ransomware Partnerzy wykorzystujący błąd Windows MSHTML

Ryuk Ransomware Partnerzy wykorzystujący błąd Windows MSHTML

Do Mura w Computer Security
Przetłumacz na:
Polski

Analitycy bezpieczeństwa firmy Microsoft ostrzegli, że teraz załatana luka w zabezpieczeniach MSHTML w systemach Windows 10 została już aktywnie wykorzystana przez cyberprzestępców korzystających z oprogramowania ransomware Ryuk.

Microsoft współpracował z badaczami bezpieczeństwa z RiskIQ, aby odkryć kampanię wykorzystującą niebezpieczne oprogramowanie ransomware Ryuk. Gdy hakerzy wykorzystają lukę w zdalnym wykonywaniu kodu, którą Microsoft już załatał, rozmieszczą ładunek ransomware na zaatakowanych systemach.

Podobnie jak w przypadku wielu podobnych luk w zabezpieczeniach odkrytych w przeszłości, luka ta wymaga od ofiary otwarcia złośliwego, dostosowanego do potrzeb dokumentu Microsoft Office, aby zadziałał. Omówiliśmy problem i łatkę, którą Microsoft wydał w tym miesiącu we wtorek, na początku tego tygodnia. Omawiany błąd umożliwił złym podmiotom osadzanie złośliwej kontrolki ActiveX w dokumencie pakietu Office, która jest następnie wykorzystywana do złamania zabezpieczeń systemu ofiary.

Badania nad tą kampanią Ryuk wykazały, że hakerzy początkowo wykorzystali lukę CVE-2021-40444 MSHTML, a następnie wdrożyli programy ładujące sygnały nawigacyjne Cobalt Strike. Programy ładujące z kolei komunikowałyby się z infrastrukturą przestępców — tą samą, która była wykorzystywana w kilku poprzednich atakach ransomware.

Według RiskIQ, infrastruktura użyta w tym najnowszym ataku jest obsługiwana przez Wizard Spider – oprogramowanie ransomware, które wykorzystuje Ryuka i prawdopodobnie działa poza Rosją. Naukowcy oparli swoje wnioski na wzorcach i wykorzystaniu serwerów, które wskazują na nakładanie się tego najnowszego atakującego i Wizarda Spidera.

Ryuk to jedna z najbardziej niesławnych odmian oprogramowania ransomware, która jest nadal używana. Istnieje od 2018 roku, a jego operatorzy zgarnęli miliony dolarów okupu za wiele głośnych udanych ataków. Ryuk i kierujący nim gang cofnęli się nieco, gdy grupy REvil i DarkSide znalazły się na pierwszych stronach gazet w bieżącym roku, z kilkoma głośnymi atakami, w tym Colonial Pipeline i ostatnio atakiem REvil na Kaseyę.

Ładowanie...