Ryuk Ransomware används vid attacker som missbrukar Windows MSHTML Bug
I samarbete med säkerhets RiskIQ meddelade Microsofts säkerhetsforskare att den nyligen detaljerade och korrigerade sårbarheten CVE-2021-40444 aktivt har utnyttjats av hotaktörer som senare använde den ökända Ryuk-ransomware på komprometterade system.
Vi täckte redan CVE-2021-40444-sårbarheten som beskrivs i denna månads vanliga Patch Tuesday-session av Microsoft. Felet gäller en sårbarhet för fjärrkörning av kod, som utlöses i Windows MSHTML-motorn, när ett offer öppnar en specialtillverkad, skadlig programvara med Office-filer. Filerna måste innehålla en skadlig ActiveX -kontroll för att hackare ska kunna missbruka felet.
RiskIQ tror att attacken är verk av cyberbrottsliga outfit Wizard Spider. Infrastrukturen som används i de senaste skadliga kampanjriktningssystemen som ännu inte har några patchar för CVE-2021-40444 överlappade och visade liknande mönster som infrastruktur som Wizard Spider har använt tidigare i äldre kampanjer som använder Ryuk-ransomware nyttolast.
Enligt forskarna utnyttjar hackarna bara MSHTML -felet som det första steget för att få fotfäste på ett system. Från och med nu distribuerar de Cobalt Strike beacon -lastare som hakar fast vid resten av troligen Wizard Spider -serverinfrastruktur.
Denna nya attack hjälpte till att påminna infosec -gemenskapen om att det finns andra ransomware -gäng där ute, förutom REvil och DarkSide -gruppen. Under de senaste månaderna var alla rubriker relaterade till ransomware -attacker alltid inriktade på de två senare hotaktörerna, som i sin tur förmodligen tog en lång semester. Om Ryuk -ransomware -gänget försöker bli mer relevant igen och fylla i utrymmet som lämnas av REvil och DarkSide återstår att se.
Det faktum att CVE-2021-40444-sårbarheten redan har visat sig utnyttjas för lika farliga attacker som detta visar hur oerhört viktigt det är att hålla nätverk och alla enheter anslutna till dem korrigerade med de senaste uppdateringarna från utgivarna samma dag som den nya plåstret är ute. Plåstret för MSHTML -sårbarheten är redan ute och alla ytterligare framgångsrika attacker som missbrukar det bör helt undvikas.