Ryuk Ransomware brukes i angrep som misbruker Windows MSHTML Bug
Sikkerhetsforskere i samarbeid med sikkerhet RiskIQ kunngjorde at den nylig detaljerte og oppdaterte sårbarheten CVE-2021-40444 har blitt aktivt utnyttet av trusselaktører som senere distribuerte den beryktede Ryuk-ransomware på kompromitterte systemer.
Vi har allerede dekket CVE-2021-40444-sikkerhetsproblemet som ble beskrevet i denne månedens vanlige Patch Tuesday-økt av Microsoft. Feilen gjelder et sårbarhet for ekstern kjøring av kode, utløst i MSHTML-motoren i Windows, når et offer åpner en spesiallaget, skadelig programvare-lastet Office-fil. Filene må inneholde en ondsinnet ActiveX -kontroll for å tillate hackere å misbruke feilen.
RiskIQ mener angrepet er arbeidet til det cyberkriminelle antrekket Wizard Spider. Infrastrukturen som ble brukt i de siste ondsinnede kampanjemålrettingssystemene som til og med ikke har noen oppdateringer for CVE-2021-40444, var overlappende og viste lignende mønstre som infrastruktur som Wizard Spider har brukt tidligere i eldre kampanjer som bruker Ryuk-ransomware nyttelast.
Ifølge forskerne utnytter hackerne bare MSHTML -feilen som det første trinnet for å få fotfeste på et system. Fra dette tidspunktet distribuerer de Cobalt Strike beacon -lastere som henger fast på resten av det som sannsynligvis er Wizard Spider -serverinfrastruktur.
Dette nye angrepet bidro til å minne infosec -samfunnet om at det er andre ransomware -gjenger der ute, i tillegg til REvil og DarkSide -gruppen. De siste månedene har alle overskrifter knyttet til ransomware -angrep alltid vært fokusert på de to sistnevnte trusselaktørene, som i sin tur angivelig tok en lang ferie. Om Ryuk ransomware -gjengen prøver å bli mer relevant igjen og fylle ut plassen som er forlatt av REvil og DarkSide gjenstår å se.
Det faktum at CVE-2021-40444-sårbarheten allerede har vist seg å bli utnyttet for like farlige angrep som dette, viser hvor utrolig viktig det er å holde nettverk og alle enheter koblet til dem med de siste oppdateringene fra utgiverne samme dag den nye lappen er ute. Lappen for MSHTML -sårbarheten er allerede ute, og ytterligere vellykkede angrep som misbruker den, bør være fullstendig unngås.