Ryuk Ransomware A Windows MSHTML hibával visszaélő támadásokban használt
A biztonsági RiskIQ-val közösen dolgozó Microsoft biztonsági kutatói bejelentették, hogy a nemrégiben részletezett és javított CVE-2021-40444 biztonsági rést aktívan kihasználták a fenyegetés szereplői, akik később a hírhedt Ryuk ransomware-t telepítették veszélyeztetett rendszerekre.
Már lefedtük a CVE-2021-40444 biztonsági rést, amelyet a Microsoft e havi rendes Patch keddi ülésén részletezett. A hiba egy távoli kódvégrehajtási sebezhetőségre vonatkozik, amelyet a Windows MSHTML motorja vált ki, amikor az áldozat megnyit egy speciálisan készített, rosszindulatú programokkal töltött Office-fájlt. A fájloknak tartalmazniuk kell egy rosszindulatú ActiveX vezérlőt, hogy a hackerek visszaélhessenek a hibával.
A RiskIQ úgy véli, hogy a támadás a kiberbűnöző öltözék, a Wizard Spider műve. A legújabb, rosszindulatú kampányokat célzó rendszerekben használt infrastruktúra, amely nem tartalmaz javításokat a CVE-2021-40444 számára, átfedésben volt, és hasonló mintákat mutatott, mint az infrastruktúra, amelyet a Wizard Spider korábban használt a Ryuk ransomware hasznos terhet használó régebbi kampányokban.
A kutatók szerint a hackerek csak az MSHTML hibát használják ki első lépésként, hogy meg tudjanak szerezni egy rendszert. Innentől kezdve Cobalt Strike jelzőfény -betöltőket telepítenek, amelyek a valószínűleg Wizard Spider szerverinfrastruktúra fennmaradó részében rögzülnek.
Ez az új támadás emlékeztette az infosec közösséget arra, hogy a REvil és a DarkSide csoporton kívül vannak más zsarolóvírus -bandák is. Az elmúlt hónapokban a ransomware -támadásokkal kapcsolatos összes címoldal mindig az utóbbi két fenyegetés -szereplőre összpontosított, akik viszont állítólag hosszú szabadságot vettek igénybe. Az, hogy a Ryuk ransomware banda megpróbál -e ismét relevánsabbá válni, és betölteni a REvil és a DarkSide által felszabadított teret, még várat magára.
Az a tény, hogy a CVE-2021-40444 sebezhetőséget már bizonyítottan veszélyes támadásokra használják ki, ez azt mutatja, mennyire hihetetlenül fontos, hogy a hálózatokat és a hozzájuk kapcsolódó összes eszközt a kiadók legújabb frissítéseivel ugyanazon a napon frissítsék. patch kimaradt. Az MSHTML biztonsági rés javítása már kiesett, és minden további sikeres támadással, amely visszaél ezzel, teljesen el kell kerülni.