Программа-вымогатель Ryuk, использованная в атаках с использованием ошибки Windows MSHTML
Работая совместно с Security RiskIQ, исследователи безопасности Microsoft объявили, что недавно разработанная и исправленная уязвимость CVE-2021-40444 активно использовалась злоумышленниками, которые позже развернули печально известную программу-вымогатель Ryuk на скомпрометированных системах.
Мы уже рассмотрели уязвимость CVE-2021-40444, которая была подробно описана на регулярной сессии Patch Tuesday в этом месяце от Microsoft. Ошибка связана с уязвимостью удаленного выполнения кода, которая срабатывает в движке Windows MSHTML, когда жертва открывает специально созданный файл Office, содержащий вредоносное ПО. Файлы должны содержать вредоносный элемент управления ActiveX, чтобы хакеры могли злоупотреблять ошибкой.
RiskIQ считает, что это работа киберпреступников Wizard Spider. Инфраструктура, используемая в этой последней системе таргетинга вредоносных кампаний, которая до сих пор не имеет исправлений для CVE-2021-40444, перекрывалась и показывала аналогичные модели инфраструктуры, которую Wizard Spider использовал в прошлом в старых кампаниях с использованием полезной нагрузки вымогателя Ryuk.
По словам исследователей, хакеры используют ошибку MSHTML только в качестве первого шага, чтобы закрепиться в системе. С этого момента они развертывают загрузчики маяков Cobalt Strike, которые прикрепляются к остальной части того, что, вероятно, является серверной инфраструктурой Wizard Spider.
Эта новая атака помогла напомнить сообществу информационных систем, что существуют и другие банды вымогателей, помимо REvil и DarkSide. В течение последних нескольких месяцев все заголовки, связанные с атаками программ-вымогателей, всегда были сосредоточены на двух последних субъектах угрозы, которые, в свою очередь, предположительно ушли в длительный отпуск. Пытается ли банда вымогателей Ryuk снова стать более актуальной и заполнить пространство, освобожденное REvil и DarkSide, еще неизвестно.
Тот факт, что уже доказано, что уязвимость CVE-2021-40444 может использоваться для столь же опасных атак, показывает, насколько невероятно важно поддерживать сети и все подключенные к ним устройства с последними обновлениями от издателей в тот же день, когда новые патч вышел. Патч для уязвимости MSHTML уже выпущен, и любых дальнейших успешных атак с его использованием можно полностью избежать.