Ryuk Ransomware Bağlı Kuruluşları Windows MSHTML Hatasından Yararlanıyor

Microsoft güvenlik araştırmacıları, Windows 10 sistemlerinde MSHTML ile şu anda yamalı güvenlik açığının, Ryuk fidye yazılımını kullanan tehdit aktörleri tarafından aktif olarak istismar edildiği konusunda uyardı.

Microsoft, tehlikeli Ryuk fidye yazılımını kullanan bir kampanyayı ortaya çıkarmak için RiskIQ'dan güvenlik araştırmacılarıyla birlikte çalıştı. Bilgisayar korsanları, Microsoft'un zaten yamaladığı uzaktan kod yürütme kusurunu kötüye kullandığında, fidye yazılımı yükünü güvenliği ihlal edilmiş sistemlere dağıtır.

Geçmişte keşfedilen birçok benzer güvenlik açığında olduğu gibi, güvenlik açığının çalışması için kurbanın kötü amaçlı, özel olarak hazırlanmış bir Microsoft Office belgesi açması gerekir. Sorunu ve Microsoft'un bu haftaki Salı Yaması civarında yayınladığı yamayı ele aldık. Söz konusu hata, kötü niyetli kişilerin bir Office belgesine kötü niyetli bir ActiveX denetimi yerleştirmesine izin verdi ve bu denetim daha sonra kurbanın sistemini tehlikeye atmak için kullanıldı.

Bu Ryuk kampanyasına ilişkin araştırma, bilgisayar korsanlarının önce CVE-2021-40444 MSHTML güvenlik açığını kullanacağını, ardından Cobalt Strike işaret yükleyicilerini dağıtacağını gösterdi. Yükleyiciler de suçluların altyapısıyla iletişim kuracak - geçmişteki birkaç fidye yazılımı saldırılarında kullanılanla aynı.

RiskIQ'ya göre, bu son saldırıda kullanılan altyapı, Ryuk kullanan ve Rusya dışında faaliyet gösterdiğine inanılan bir fidye yazılımı olan Wizard Spider tarafından işletiliyor. Araştırmacılar, bu son saldırgan ve Wizard Spider arasında örtüşen noktayı kalıplara ve sunucu kullanımına dayandırdı.

Ryuk, bugün hala kullanılan en kötü şöhretli fidye yazılımı türlerinden biridir. 2018'den beri var ve operatörleri çok sayıda yüksek profilli başarılı saldırıdan milyonlarca dolar fidye topladı. Ryuk ve onu yöneten çete, REvil ve DarkSide grubu, Colonial Pipeline ve son zamanlarda Kaseya'ya karşı REvil saldırısı da dahil olmak üzere birçok yüksek profilli saldırı ile bu yıl manşetlere çıktıkça biraz geri adım attı.