Los Afiliados de Ryuk Ransomware Explotan el Error MSHTML de Windows

Los investigadores de seguridad de Microsoft advirtieron que la vulnerabilidad ahora parcheada con MSHTML en los sistemas Windows 10 ya ha sido explotada activamente por los actores de amenazas que utilizan el ransomware Ryuk.

Microsoft trabajó en conjunto con investigadores de seguridad de RiskIQ para descubrir una campaña que emplea el peligroso ransomware Ryuk. Una vez que los piratas informáticos abusen de la falla de ejecución remota del código, que Microsoft ya ha parcheado, desplegarían la carga útil del ransomware en los sistemas comprometidos.

Al igual que con muchas vulnerabilidades similares descubiertas en el pasado, la vulnerabilidad necesita que la víctima abra un documento de Microsoft Office malicioso y hecho a medida para que funcione. Cubrimos el problema y el parche que Microsoft emitió alrededor del martes de parches de este mes a principios de esta semana. El error en cuestión permitió a los delincuentes incrustar un control ActiveX malicioso dentro de un documento de Office, que luego se usa para comprometer el sistema de la víctima.

La investigación de esta campaña de Ryuk mostró que los piratas informáticos utilizarían inicialmente la vulnerabilidad CVE-2021-40444 MSHTML y luego desplegarían los cargadores de balizas Cobalt Strike. Los cargadores, a su vez, se comunicarían con la infraestructura de los delincuentes, la misma que se ha utilizado en varios ataques de ransomware anteriores.

Según RiskIQ, la infraestructura utilizada en este último ataque es operada por Wizard Spider, un equipo de ransomware que usa Ryuk y se cree que opera desde Rusia. Los investigadores basaron sus conclusiones en patrones y uso del servidor que apuntan a la superposición entre este último atacante y Wizard Spider.

Ryuk es una de las variedades de ransomware más infames que todavía se utiliza en la actualidad. Ha existido desde 2018 y sus operadores han recaudado millones de dólares en rescate de múltiples ataques exitosos de alto perfil. Ryuk y la pandilla que lo maneja han dado un paso atrás ya que el grupo REvil y DarkSide llegaron a los titulares en el año en curso, con varios ataques de alto perfil, incluido Colonial Pipeline y, más recientemente, el ataque REvil contra Kaseya.