Ryuk Ransomware wird bei Angriffen verwendet, die Windows missbrauchen MSHTML Bug
In Zusammenarbeit mit Security RiskIQ gaben Microsoft-Sicherheitsforscher bekannt, dass die kürzlich detaillierte und gepatchte Schwachstelle CVE-2021-40444 aktiv von Bedrohungsakteuren ausgenutzt wurde, die später die berüchtigte Ryuk-Ransomware auf kompromittierten Systemen einsetzten.
Wir haben bereits die Schwachstelle CVE-2021-40444 behandelt, die in der regulären Patch Tuesday-Sitzung dieses Monats von Microsoft detailliert beschrieben wurde. Der Fehler betrifft eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die in der Windows-MSHTML-Engine ausgelöst wird, wenn ein Opfer eine speziell erstellte, mit Malware beladene Office-Datei öffnet. Die Dateien müssen ein bösartiges ActiveX-Steuerelement enthalten, damit Hacker den Fehler missbrauchen können.
RiskIQ glaubt, dass der Angriff das Werk des Cyberkriminellen Wizard Spider ist. Die Infrastruktur, die in dieser neuesten bösartigen Kampagne verwendet wurde, die auf Systeme abzielte, die noch keine Patches für CVE-2021-40444 haben, überlappte und zeigte ähnliche Muster wie die Infrastruktur, die Wizard Spider in der Vergangenheit in älteren Kampagnen mit der Ryuk-Ransomware-Nutzlast verwendet hat.
Den Forschern zufolge nutzen die Hacker den MSHTML-Bug nur im ersten Schritt aus, um auf einem System Fuß zu fassen. Von diesem Punkt an setzen sie Cobalt Strike Beacon Loader ein, die sich mit dem Rest der wahrscheinlichen Wizard Spider-Serverinfrastruktur verbinden.
Dieser neue Angriff trug dazu bei, die infosec-Community daran zu erinnern, dass es neben REvil und der DarkSide-Gruppe noch andere Ransomware-Gangs gibt. Alle Schlagzeilen rund um Ransomware-Angriffe drehten sich in den letzten Monaten immer nur um die beiden letztgenannten Bedrohungsakteure, die ihrerseits angeblich lange Urlaub nahmen. Ob die Ryuk-Ransomware-Gang versucht, wieder relevanter zu werden und den von REvil und DarkSide frei gewordenen Platz zu füllen, bleibt abzuwarten.
Die Tatsache, dass die Schwachstelle CVE-2021-40444 bereits nachweislich für ebenso gefährliche Angriffe ausgenutzt wird, zeigt, wie unglaublich wichtig es ist, Netzwerke und alle damit verbundenen Geräte noch am selben Tag mit den neuesten Updates der Herausgeber zu patchen Patch ist raus. Der Patch für die MSHTML-Schwachstelle ist bereits veröffentlicht und alle weiteren erfolgreichen Angriffe, die sie missbrauchen, sollten vollständig vermieden werden.