Ryuk ransomware utilizzato negli attacchi che abusano del bug MSHTML di Windows
In collaborazione con Security RiskIQ, i ricercatori di sicurezza di Microsoft hanno annunciato che la vulnerabilità CVE-2021-40444, recentemente dettagliata e corretta, è stata attivamente sfruttata dagli attori delle minacce che in seguito hanno distribuito il famigerato ransomware Ryuk su sistemi compromessi.
Abbiamo già trattato la vulnerabilità CVE-2021-40444 che è stata dettagliata nella normale sessione del Patch Tuesday di questo mese da parte di Microsoft. Il bug riguarda una vulnerabilità legata all'esecuzione di codice in modalità remota, attivata nel motore MSHTML di Windows, quando una vittima apre un file di Office appositamente creato e carico di malware. I file devono contenere un controllo ActiveX dannoso per consentire agli hacker di abusare del bug.
RiskIQ ritiene che l'attacco sia opera del gruppo di criminali informatici Wizard Spider. L'infrastruttura utilizzata in questa ultima campagna dannosa per i sistemi che fino a quando non hanno patch per CVE-2021-40444 si sovrapponeva e mostrava modelli simili all'infrastruttura che Wizard Spider ha utilizzato in passato nelle campagne precedenti utilizzando il payload del ransomware Ryuk.
Secondo i ricercatori, gli hacker sfruttano il bug MSHTML solo come primo passo, per prendere piede su un sistema. Da questo punto in poi, distribuiscono i beacon loader Cobalt Strike che si agganciano al resto di quella che è probabilmente l'infrastruttura del server Wizard Spider.
Questo nuovo attacco ha aiutato a ricordare alla comunità di infosec che ci sono altri gruppi di ransomware ancora là fuori, oltre al gruppo REvil e DarkSide. Negli ultimi mesi, tutti i titoli relativi agli attacchi ransomware si sono sempre concentrati sugli ultimi due attori delle minacce, che a loro volta si sarebbero presi una lunga vacanza. Resta da vedere se la banda del ransomware Ryuk sta cercando di diventare di nuovo più rilevante e riempire lo spazio lasciato libero da REvil e DarkSide.
Il fatto che la vulnerabilità CVE-2021-40444 abbia già dimostrato di essere sfruttata per attacchi così pericolosi dimostra quanto sia incredibilmente importante mantenere le reti e tutti i dispositivi ad esse collegati aggiornati con gli ultimi aggiornamenti degli editori lo stesso giorno del nuovo la patch è fuori. La patch per la vulnerabilità MSHTML è già disponibile e qualsiasi ulteriore attacco riuscito che ne abusi dovrebbe essere completamente evitabile.
