Les affiliés de Ryuk Ransomware exploitant le bogue Windows MSHTML

Les chercheurs en sécurité de Microsoft ont averti que la vulnérabilité désormais corrigée avec MSHTML sur les systèmes Windows 10 a déjà été activement exploitée par des acteurs malveillants utilisant le ransomware Ryuk.

Microsoft a collaboré avec des chercheurs en sécurité de RiskIQ pour découvrir une campagne utilisant le dangereux ransomware Ryuk. Une fois que les pirates ont abusé de la faille d'exécution de code à distance, que Microsoft a déjà corrigée, ils déploieraient la charge utile du ransomware sur les systèmes compromis.

Comme pour de nombreuses vulnérabilités similaires découvertes dans le passé, la vulnérabilité nécessite que la victime ouvre un document Microsoft Office malveillant et personnalisé pour fonctionner. Nous avons couvert le problème et le correctif que Microsoft a publié autour du Patch Tuesday de ce mois-ci plus tôt cette semaine. Le bogue en question a permis à de mauvais acteurs d'intégrer un contrôle ActiveX malveillant dans un document Office, qui est ensuite utilisé pour compromettre le système de la victime.

Les recherches sur cette campagne Ryuk ont montré que les pirates informatiques utiliseraient initialement la vulnérabilité MSHTML CVE-2021-40444, puis déploieraient des chargeurs de balises Cobalt Strike. Les chargeurs communiqueraient à leur tour avec l'infrastructure des criminels - la même qui a été utilisée dans plusieurs attaques de ransomware passées.

Selon RiskIQ, l'infrastructure utilisée dans cette dernière attaque est exploitée par Wizard Spider - une entreprise de ransomware qui utilise Ryuk et qui est censée opérer depuis la Russie. Les chercheurs ont basé leurs conclusions sur les modèles et l'utilisation du serveur qui indiquent un chevauchement entre ce dernier attaquant et Wizard Spider.

Ryuk est l'une des souches les plus tristement célèbres de ransomware qui est encore utilisée aujourd'hui. Il existe depuis 2018 et ses opérateurs ont engrangé des millions de dollars de rançon grâce à plusieurs attaques réussies de grande envergure. Ryuk et le gang qui le dirigent ont pris un peu de recul alors que les groupes REvil et DarkSide ont fait la une des journaux cette année, avec plusieurs attaques très médiatisées, notamment Colonial Pipeline et, plus récemment, l'attaque REvil contre Kaseya.