Ryuk Ransomware που χρησιμοποιείται σε επιθέσεις κατάχρησης Windows MSHTML Bug
Σε συνεργασία με την ασφάλεια RiskIQ, οι ερευνητές ασφάλειας της Microsoft ανακοίνωσαν ότι η πρόσφατα λεπτομερής και επιδιορθωμένη ευπάθεια CVE-2021-40444 έχει εκμεταλλευτεί ενεργά από φορείς απειλής που αργότερα ανέπτυξαν το διαβόητο ransomware Ryuk σε παραβιασμένα συστήματα.
Καλύψαμε ήδη το θέμα ευπάθειας CVE-2021-40444, το οποίο αναλύθηκε στην κανονική συνεδρία Patch Tuesday αυτού του μήνα από τη Microsoft. Το σφάλμα αφορά μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα, η οποία ενεργοποιείται στη μηχανή MSHTML των Windows, όταν ένα θύμα ανοίγει ένα ειδικά κατασκευασμένο, φορτωμένο κακόβουλο λογισμικό αρχείο Office. Τα αρχεία πρέπει να περιέχουν ένα κακόβουλο στοιχείο ελέγχου ActiveX για να επιτρέψουν στους χάκερ να κάνουν κατάχρηση του σφάλματος.
Ο RiskIQ πιστεύει ότι η επίθεση είναι έργο της διαδικτυακής εγκληματικής στολής Wizard Spider. Η υποδομή που χρησιμοποιήθηκε σε αυτήν την τελευταία κακόβουλη εκστρατεία στόχευσης συστημάτων που μέχρι τότε δεν είχαν επιδιορθώσεις για το CVE-2021-40444 επικαλυπτόταν και έδειχνε παρόμοια μοτίβα με την υποδομή που είχε χρησιμοποιήσει ο Wizard Spider στο παρελθόν σε παλαιότερες καμπάνιες χρησιμοποιώντας το ωφέλιμο φορτίο ransomware Ryuk.
Σύμφωνα με τους ερευνητές, οι χάκερ εκμεταλλεύονται μόνο το σφάλμα MSHTML ως το πρώτο βήμα, για να αποκτήσουν βάση σε ένα σύστημα. Από αυτό το σημείο και μετά, αναπτύσσουν φορτωτές φάρων Cobalt Strike που προσκολλώνται στο υπόλοιπο της πιθανής υποδομής διακομιστή Wizard Spider.
Αυτή η νέα επίθεση βοήθησε να υπενθυμίσει στην κοινότητα infosec ότι υπάρχουν άλλες συμμορίες ransomware ακόμα εκεί έξω, εκτός από την ομάδα REvil και DarkSide. Τους τελευταίους μήνες, όλα τα πρωτοσέλιδα που σχετίζονται με επιθέσεις ransomware ήταν πάντα επικεντρωμένα στους δύο τελευταίους παράγοντες απειλής, οι οποίοι με τη σειρά τους υποτίθεται ότι έκαναν μεγάλες διακοπές. Το αν η συμμορία ransomware Ryuk προσπαθεί να γίνει ξανά πιο επίκαιρη και να συμπληρώσει τον χώρο που άδειασαν οι REvil και DarkSide, μένει να το δούμε.
Το γεγονός ότι η ευπάθεια CVE-2021-40444 είναι ήδη αποδεδειγμένη ότι χρησιμοποιείται για επιθέσεις ως επικίνδυνες, καθώς αυτό δείχνει πόσο απίστευτα σημαντικό είναι να διατηρούνται τα δίκτυα και όλες οι συσκευές που είναι συνδεδεμένες μαζί τους με τις πιο πρόσφατες ενημερώσεις από τους εκδότες την ίδια μέρα. το έμπλαστρο είναι έξω. Η ενημερωμένη έκδοση κώδικα για την ευπάθεια MSHTML είναι ήδη διαθέσιμη και τυχόν περαιτέρω επιτυχείς επιθέσεις κατάχρησης αυτής θα πρέπει να αποφευχθούν εντελώς.
