Ryuk Ransomware-Partner nutzen den Windows-MSHTML-Fehler aus

Ryuk Ransomware-Partner nutzen den Windows-MSHTML-Fehler aus

Microsoft-Sicherheitsforscher warnten, dass die inzwischen gepatchte Sicherheitslücke mit MSHTML auf Windows 10-Systemen bereits aktiv von Bedrohungsakteuren mit der Ryuk-Ransomware ausgenutzt wurde.

Microsoft hat gemeinsam mit Sicherheitsforschern von RiskIQ eine Kampagne entdeckt, bei der die gefährliche Ryuk-Ransomware eingesetzt wird. Sobald Hacker den Fehler bei der Remote-Codeausführung missbrauchen, den Microsoft bereits gepatcht hat, würden sie die Ransomware-Nutzlast auf den kompromittierten Systemen bereitstellen.

Wie bei vielen ähnlichen Schwachstellen, die in der Vergangenheit entdeckt wurden, muss das Opfer für die Schwachstelle ein bösartiges, maßgeschneidertes Microsoft Office-Dokument öffnen, um zu funktionieren. Wir haben das Problem und den Patch behandelt, den Microsoft Anfang dieser Woche um den Patch-Dienstag dieses Monats herausgegeben hat. Der fragliche Fehler ermöglichte es Angreifern, ein bösartiges ActiveX-Steuerelement in ein Office-Dokument einzubetten, das dann verwendet wird, um das System des Opfers zu kompromittieren.

Die Recherchen zu dieser Ryuk-Kampagne zeigten, dass Hacker zunächst die MSHTML-Sicherheitslücke CVE-2021-40444 ausnutzen und dann Cobalt-Strike-Beacon-Loader einsetzen. Die Loader wiederum würden mit der Infrastruktur der Kriminellen kommunizieren – dieselbe, die bei mehreren früheren Ransomware-Angriffen verwendet wurde.

Laut RiskIQ wird die bei diesem jüngsten Angriff verwendete Infrastruktur von Wizard Spider betrieben – einer Ransomware-Firma, die Ryuk verwendet und von Russland aus operiert. Die Forscher stützten ihre Schlussfolgerungen auf Muster und Servernutzung, die auf Überschneidungen zwischen diesem neuesten Angreifer und Wizard Spider hindeuten.

Ryuk ist eine der berüchtigtsten Arten von Ransomware, die noch heute verwendet wird. Es gibt es seit 2018 und seine Betreiber haben Millionen von Dollar an Lösegeld aus mehreren hochkarätigen erfolgreichen Angriffen einkassiert. Ryuk und die Bande, die es leitet, sind ein wenig zurückgetreten, als REvil und die DarkSide- Gruppe im laufenden Jahr mit mehreren hochkarätigen Angriffen, darunter Colonial Pipeline und zuletzt der REvil-Angriff auf Kaseya, Schlagzeilen machten.

Wird geladen...