Ryuk 勒索軟件關聯公司利用 Windows MSHTML 漏洞

微軟安全研究人員警告說，Windows 10 系統上現已修補的 MSHTML 漏洞已經被使用 Ryuk 勒索軟件的威脅行為者積極利用。

Microsoft 與 RiskIQ 的安全研究人員合作，發現了一場使用危險的Ryuk 勒索軟件的活動。一旦黑客濫用微軟已經修補的遠程代碼執行漏洞，他們就會在受感染的系統上部署勒索軟件負載。

與過去發現的許多類似漏洞一樣，該漏洞需要受害者打開惡意的、量身定制的 Microsoft Office 文檔才能工作。我們在本週早些時候討論了微軟在本月補丁星期二發布的問題和補丁。該漏洞允許不法分子在 Office 文檔中嵌入惡意 ActiveX 控件，然後使用該控件來破壞受害者的系統。

對該 Ryuk 活動的研究表明，黑客最初會使用 CVE-2021-40444 MSHTML 漏洞，然後部署 Cobalt Strike 信標加載器。加載程序反過來會與犯罪分子的基礎設施進行通信——這與過去幾次勒索軟件攻擊中使用的基礎設施相同。

根據 RiskIQ 的說法，這次最新攻擊中使用的基礎設施是由 Wizard Spider 運營的——這是一家使用 Ryuk 的勒索軟件公司，據信在俄羅斯境外運營。研究人員基於模式和服務器使用得出的結論表明，這個最新的攻擊者和 Wizard Spider 之間存在重疊。

Ryuk 是當今仍在使用的最臭名昭著的勒索軟件之一。它自 2018 年以來一直存在，其運營商已從多次備受矚目的成功攻擊中獲得數百萬美元的贖金。 Ryuk 和運行它的團伙已經後退了一步，因為 REvil 和 DarkSide集團在今年成為頭條新聞，發生了幾次備受矚目的攻擊，包括Colonial Pipeline和最近的 REvil 對 Kaseya 的攻擊。