Ryuk Ransomware używane w atakach wykorzystujących błąd Windows MSHTML
Współpracując z RiskIQ ds. bezpieczeństwa, analitycy bezpieczeństwa Microsoft ogłosili, że niedawno szczegółowo opisana i załatana luka CVE-2021-40444 była aktywnie wykorzystywana przez cyberprzestępców, którzy później wdrożyli niesławne oprogramowanie ransomware Ryuk na zaatakowanych systemach.
Omówiliśmy już lukę CVE-2021-40444, która została szczegółowo opisana w regularnej sesji z wtorkową poprawką firmy Microsoft w tym miesiącu. Błąd dotyczy luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu, która jest uruchamiana w silniku Windows MSHTML, gdy ofiara otwiera specjalnie stworzony, wyładowany złośliwym oprogramowaniem plik pakietu Office. Pliki muszą zawierać złośliwą kontrolkę ActiveX, aby umożliwić hakerom wykorzystanie błędu.
RiskIQ uważa, że atak jest dziełem cyberprzestępczego zespołu Wizard Spider. Infrastruktura użyta w tej najnowszej złośliwej kampanii celującej w systemy, które do tej pory nie miały łatek dla CVE-2021-40444, nakładała się na siebie i wykazywała podobne wzorce do infrastruktury, której Wizard Spider używał w przeszłości w starszych kampaniach wykorzystujących ładunek ransomware Ryuk.
Według naukowców hakerzy wykorzystują błąd MSHTML tylko jako pierwszy krok, aby zdobyć przyczółek w systemie. Od tego momentu wdrażają programy ładujące sygnały nawigacyjne Cobalt Strike, które zatrzaskują się na pozostałej części prawdopodobnie infrastruktury serwerowej Wizard Spider.
Ten nowy atak pomógł przypomnieć społeczności infosec, że oprócz REvil i DarkSide wciąż istnieją inne gangi ransomware. Przez ostatnie kilka miesięcy wszystkie nagłówki związane z atakami ransomware zawsze skupiały się na dwóch ostatnich cyberprzestępcach, którzy z kolei rzekomo wzięli długie wakacje. To, czy gang ransomware Ryuk próbuje ponownie stać się bardziej istotny i wypełnić przestrzeń pustą przez REvil i DarkSide, okaże się.
Fakt, że luka CVE-2021-40444 jest już wykorzystywana do ataków tak niebezpiecznych, jak pokazuje, jak niezwykle ważne jest aktualizowanie sieci i wszystkich podłączonych do nich urządzeń za pomocą najnowszych aktualizacji wydawców tego samego dnia, w którym łatka się skończyła. Łata na lukę MSHTML jest już dostępna i wszelkich dalszych udanych ataków, które ją wykorzystują, należy całkowicie uniknąć.