Аффилированные лица Ryuk Ransomware используют ошибку Windows MSHTML

Исследователи безопасности Microsoft предупредили, что теперь исправленная уязвимость с MSHTML в системах Windows 10 уже активно использовалась злоумышленниками с помощью программы-вымогателя Ryuk.

Microsoft работала совместно с исследователями безопасности из RiskIQ, чтобы раскрыть кампанию с использованием опасной программы- вымогателя Ryuk . Как только хакеры злоупотребят уязвимостью удаленного выполнения кода, которую Microsoft уже исправила, они развернут полезную нагрузку программы-вымогателя на скомпрометированных системах.

Как и в случае со многими подобными уязвимостями, обнаруженными в прошлом, жертва должна открыть вредоносный, специально созданный документ Microsoft Office, чтобы он заработал. Мы рассмотрели проблему и исправление, выпущенное Microsoft во вторник этого месяца в начале этой недели. Рассматриваемая ошибка позволяла злоумышленникам встроить вредоносный элемент управления ActiveX в документ Office, который затем используется для компрометации системы жертвы.

Исследование этой кампании Ryuk показало, что хакеры сначала использовали уязвимость MSHTML CVE-2021-40444, а затем развернули загрузчики маяков Cobalt Strike. Загрузчики, в свою очередь, будут связываться с инфраструктурой преступников - той же, что использовалась в нескольких прошлых атаках с использованием программ-вымогателей.

Согласно RiskIQ, инфраструктура, использованная в этой последней атаке, управляется Wizard Spider - вымогателем, использующим Ryuk и предположительно действующим за пределами России. Исследователи основывали свои выводы на шаблонах и использовании серверов, которые указывают на совпадение между этим последним злоумышленником и Wizard Spider.

Ryuk - один из самых печально известных штаммов программ-вымогателей, которые используются до сих пор. Он существует с 2018 года, и его операторы получили миллионы долларов выкупа в результате нескольких громких успешных атак. Рюк и возглавляющая его банда сделали небольшой шаг назад, поскольку в текущем году REvil и группа DarkSide попали в заголовки газет с несколькими громкими атаками, включая Colonial Pipeline и, совсем недавно, атаку REvil на Касею .