Ryuk Ransomware naudojama atakoms piktnaudžiaujant Windows MSHTML klaida
Bendradarbiaudami su „Security RiskIQ“, „Microsoft“ saugumo tyrėjai paskelbė, kad neseniai išsamų ir pataisytą pažeidžiamumą CVE-2021-40444 aktyviai išnaudojo grėsmių veikėjai, vėliau įdiegę liūdnai pagarsėjusią „Ryuk“ išpirkos programinę įrangą pažeistose sistemose.
Mes jau aptarėme CVE-2021-40444 pažeidžiamumą, kuris buvo išsamiai aprašytas šio mėnesio įprastinėje „Microsoft“ pataisos antradienio sesijoje. Klaida susijusi su kodo vykdymo nuotoliniu būdu pažeidžiamumu, suaktyvintu „Windows MSHTML“ variklyje, kai auka atidaro specialiai sukurtą, kenkėjiškų programų apkrautą „Office“ failą. Failai turi turėti kenkėjišką „ActiveX“ valdiklį, kad įsilaužėliai galėtų piktnaudžiauti klaida.
„RiskIQ“ mano, kad išpuolis yra kibernetinių nusikaltėlių aprangos „Wizard Spider“ darbas. Šioje naujausioje kenkėjiškų kampanijų taikymo sistemose naudojama infrastruktūra, kuri iki šiol neturėjo CVE-2021-40444 pataisų, sutapo ir parodė panašius modelius kaip ir infrastruktūra, kurią „Wizard Spider“ anksčiau naudojo senesnėse kampanijose, naudodama naudingą „Ryuk“ išpirkos programinę įrangą.
Mokslininkų teigimu, įsilaužėliai tik išnaudoja MSHTML klaidą kaip pirmąjį žingsnį, kad įsitvirtintų sistemoje. Nuo to laiko jie diegia „Cobalt Strike“ švyturių krautuvus, kurie užfiksuoja likusią „Wizard Spider“ serverių infrastruktūros dalį.
Ši nauja ataka „Infosec“ bendruomenei padėjo priminti, kad, be „REvil“ ir „DarkSide“ grupių, vis dar egzistuoja kitos išpirkos programų gaujos. Pastaruosius kelis mėnesius visos antraštės, susijusios su išpirkos programinės įrangos išpuoliais, visada buvo nukreiptos į du pastaruosius grėsmės veikėjus, kurie, savo ruožtu, tariamai paėmė ilgas atostogas. Ar „Ryuk“ išpirkos programinė įranga bandys vėl tapti aktualesnė ir užpildyti „REvil“ ir „DarkSide“ laisvą vietą, dar neaišku.
Tai, kad jau įrodyta, kad CVE-2021-40444 pažeidžiamumas yra išnaudojamas pavojingoms atakoms, nes tai rodo, kaip nepaprastai svarbu tinklus ir visus prie jų prijungtus įrenginius pataisyti naujausiais leidėjų atnaujinimais tą pačią dieną pleistras baigtas. MSHTML pažeidžiamumo pleistras jau yra išleistas, ir bet kokių tolesnių sėkmingų atakų, piktnaudžiaujančių juo, reikėtų visiškai išvengti.