Ryuk Ransomware usado em ataques que abusam do bug MSHTML do Windows
Trabalhando em conjunto com a segurança RiskIQ, os pesquisadores de segurança da Microsoft anunciaram que a vulnerabilidade recentemente detalhada e corrigida CVE-2021-40444 foi ativamente explorada por agentes de ameaças que mais tarde implantaram o infame ransomware Ryuk em sistemas comprometidos.
Já cobrimos a vulnerabilidade CVE-2021-40444 que foi detalhada na sessão regular de Patch Tuesday da Microsoft deste mês. O bug diz respeito a uma vulnerabilidade de execução remota de código, acionada no mecanismo MSHTML do Windows, quando uma vítima abre um arquivo do Office especialmente feito e carregado com malware. Os arquivos precisam conter um controle ActiveX malicioso para permitir que os hackers abusem do bug.
A RiskIQ acredita que o ataque é obra do grupo de criminosos cibernéticos Wizard Spider. A infraestrutura usada nesta última campanha maliciosa visando sistemas que até não tinham patches para CVE-2021-40444 estava sobreposta e mostrou padrões semelhantes para a infraestrutura que o Wizard Spider usou no passado em campanhas mais antigas usando a carga útil do ransomware Ryuk.
De acordo com os pesquisadores, os hackers só exploram o bug do MSHTML como primeiro passo, para se firmar em um sistema. Deste ponto em diante, eles implantam carregadores de farol Cobalt Strike que se prendem ao restante do que é provavelmente a infraestrutura de servidor do Wizard Spider.
Este novo ataque ajudou a lembrar a comunidade infosec de que ainda existem outras gangues de ransomware, além do grupo REvil e DarkSide. Nos últimos meses, todas as manchetes relacionadas a ataques de ransomware sempre se concentraram nos dois últimos atores da ameaça, que, por sua vez, supostamente tiraram longas férias. Resta saber se a gangue de ransomware Ryuk está tentando se tornar mais relevante novamente e preencher o espaço desocupado por REvil e DarkSide.
O fato de que a vulnerabilidade CVE-2021-40444 já foi comprovada para ser explorada para ataques tão perigosos quanto isso mostra o quão incrivelmente importante é manter as redes e todos os dispositivos conectados a elas corrigidos com as atualizações mais recentes dos editores no mesmo dia do novo patch está fora. O patch para a vulnerabilidade do MSHTML já foi lançado e qualquer outro ataque bem-sucedido que o abuse deve ser completamente evitável.