Ryuk Ransomware Affiliates utnyttjar Windows MSHTML Bug

Microsofts säkerhetsforskare varnade för att den nu korrigerade sårbarheten med MSHTML på Windows 10-system redan har utnyttjats aktivt av hotaktörer som använder Ryuk-ransomware.

Microsoft arbetade tillsammans med säkerhetsforskare från RiskIQ för att ta fram en kampanj som använder den farliga Ryuk -ransomware. När hackare har missbrukat den felaktiga exekveringsfelet, som Microsoft redan har korrigerat, skulle de distribuera ransomware nyttolast på de komprometterade systemen.

Som med många liknande sårbarheter som upptäckts tidigare behöver sårbarheten offret för att öppna ett skadligt, skräddarsytt Microsoft Office-dokument för att fungera. Vi täckte problemet och korrigeringsfilen som Microsoft utfärdade runt den här månadens Patch Tuesday tidigare i veckan. Felet i fråga tillät dåliga aktörer att bädda in en skadlig ActiveX -kontroll i ett Office -dokument, som sedan används för att äventyra offrets system.

Forskningen om denna Ryuk-kampanj visade att hackare inledningsvis skulle använda CVE-2021-40444 MSHTML-sårbarheten och sedan distribuera Cobalt Strike beacon-lastare. Lastarna skulle i sin tur kommunicera med de kriminella infrastrukturen - samma som har använts i flera tidigare ransomware -attacker.

Enligt RiskIQ drivs infrastrukturen som används i denna senaste attack av Wizard Spider - en ransomware -outfit som använder Ryuk och tros fungera utanför Ryssland. Forskarna baserade sina slutsatser på mönster och serveranvändning som pekar på överlappning mellan den senaste angriparen och Wizard Spider.

Ryuk är en av de mest ökända stammarna av ransomware som fortfarande används idag. Det har funnits sedan 2018 och dess operatörer har samlat in miljoner dollar i lösen från flera högprofilerade framgångsrika attacker. Ryuk och gänget driver det har tagit lite av ett steg tillbaka när REvil och DarkSide- gruppen tog rubriker under innevarande år, med flera högprofilerade attacker, inklusive Colonial Pipeline och senast REvil-attacken mot Kaseya.