Ryuk 勒索软件关联公司利用 Windows MSHTML 漏洞

微软安全研究人员警告说,Windows 10 系统上现已修补的 MSHTML 漏洞已经被使用 Ryuk 勒索软件的威胁行为者积极利用。

Microsoft 与 RiskIQ 的安全研究人员合作,发现了一场使用危险的Ryuk 勒索软件的活动。一旦黑客滥用微软已经修补的远程代码执行漏洞,他们就会在受感染的系统上部署勒索软件负载。

与过去发现的许多类似漏洞一样,该漏洞需要受害者打开恶意的、量身定制的 Microsoft Office 文档才能工作。我们在本周早些时候讨论了微软在本月补丁星期二发布的问题和补丁。该漏洞允许不法分子在 Office 文档中嵌入恶意 ActiveX 控件,然后使用该控件来破坏受害者的系统。

对该 Ryuk 活动的研究表明,黑客最初会使用 CVE-2021-40444 MSHTML 漏洞,然后部署 Cobalt Strike 信标加载器。加载程序反过来会与犯罪分子的基础设施进行通信——这与过去几次勒索软件攻击中使用的基础设施相同。

根据 RiskIQ 的说法,这次最新攻击中使用的基础设施是由 Wizard Spider 运营的——这是一家使用 Ryuk 的勒索软件公司,据信在俄罗斯境外运营。研究人员基于模式和服务器使用得出的结论表明,这个最新的攻击者和 Wizard Spider 之间存在重叠。

Ryuk 是当今仍在使用的最臭名昭著的勒索软件之一。它自 2018 年以来一直存在,其运营商已从多次备受瞩目的成功攻击中获得数百万美元的赎金。 Ryuk 和运行它的团伙已经后退了一步因为 REvil 和 DarkSide集团在今年成为头条新闻,发生了几次备受瞩目的攻击,包括Colonial Pipeline和最近的 REvil 对 Kaseya 的攻击