Afiliados ao Ryuk Ransomware Explorando um Erro no Windows MSHTML

Os pesquisadores de segurança da Microsoft alertaram que a vulnerabilidade agora corrigida com o MSHTML nos sistemas Windows 10 já foi ativamente explorada pelos agentes de ameaças usando o Ryuk Ransomware.

A Microsoft trabalhou em conjunto com os pesquisadores de segurança da RiskIQ para desenterrar uma campanha que empregava o perigoso Ryuk Ransomware. Uma vez que os hackers abusam da falha de execução remota de código, que a Microsoft já corrigiu, eles implantariam a carga útil do ransomware nos sistemas comprometidos.

Tal como acontece com muitas vulnerabilidades semelhantes descobertas no passado, a vulnerabilidade precisa que a vítima abra um documento do Microsoft Office personalizado e malicioso para funcionar. Abordamos o problema e a correção que a Microsoft lançou no início desta semana. O erro em questão permitiu que agentes mal-intencionados incorporassem um controle ActiveX malicioso em um documento do Office, que então é usado para comprometer o sistema da vítima.

A pesquisa nesta campanha do Ryuk mostrou que os hackers usariam inicialmente a vulnerabilidade CVE-2021-40444 MSHTML e, em seguida, implantariam carregadores do Cobalt Strike. Os carregadores, por sua vez, se comunicariam com a infraestrutura dos criminosos - a mesma que foi usada em vários ataques de ransomware anteriores.

De acordo com o RiskIQ, a infraestrutura usada neste último ataque é operada pelo Wizard Spider - uma empresa de ransomware que usa o Ryuk e acredita-se que opere fora da Rússia. Os pesquisadores basearam suas conclusões em padrões e uso de servidor que apontam para a sobreposição entre este último invasor e o Wizard Spider.

O Ryuk é uma das variedades mais infames de ransomware que ainda está sendo usada hoje em dia. Ela existe desde 2018 e seus operadores arrecadaram milhões de dólares em resgate de vários ataques bem-sucedidos de alto perfil. O Ryuk e a turma que o executa tderam um passo para trás quando os grupos Revil e DarkSide fizeram manchetes no ano corrente, com vários ataques de alto perfil, incluindo ao Colonial Pipeline e, mais recentemente, o ataque do Revil contra o Kaseya.