Η συμμορία ransomware Magniber χρησιμοποιεί τώρα δύο ευπάθειες του Internet Explorer και κακόβουλες διαφημίσεις για να μολύνει τους χρήστες και να κρυπτογραφεί τις συσκευές τους.
Τα δύο τρωτά σημεία του Internet Explorer παρακολουθούνται ως CVE-2021-26411 και CVE-2021-40444, καθώς και τα δύο να έχουν βαθμολογία σοβαρότητας CVSS v3 8,8.
Το πρώτο, CVE-2021-26411, επιδιορθώθηκε τον Μάρτιο του 2021 και είναι ένα ελάττωμα καταστροφής της μνήμης που προκλήθηκε από την προβολή ενός ειδικά διαμορφωμένου ιστότοπου.
Το δεύτερο ελάττωμα, το CVE-2021-40444, είναι μια απομακρυσμένη εκτέλεση κώδικα στη μηχανή απόδοσης του IE που ενεργοποιείται από το άνοιγμα ενός κακόβουλου εγγράφου.
Οι εισβολείς εκμεταλλεύτηκαν το CVE-2021-40444 ως zero day προτού η Microsoft το διορθώσει τον Σεπτέμβριο του 2021.
Magniber shifting focus
Η συμμορία Magniber είναι γνωστή για τη χρήση ευπαθειών για την παραβίαση συστημάτων και την ανάπτυξη του ransomware τους.
Τον Αύγουστο, η Magniber παρατηρήθηκε να εκμεταλλεύεται τα τρωτά σημεία του «PrintNightmare» για να παραβιάσει τους διακομιστές των Windows, τα οποία χρειάστηκε λίγος χρόνος για να αντιμετωπίσει η Microsoft.
Η πιο πρόσφατη δραστηριότητα του Magniber επικεντρώνεται στην εκμετάλλευση ευπαθειών του Internet Explorer χρησιμοποιώντας κακόβουλη διαφήμιση που ωθεί τα κιτ εκμετάλλευσης, όπως επιβεβαιώθηκε από ερευνητές της Tencent Security που εντόπισαν «φρέσκα» payloads.
Μια πιθανή εξήγηση για αυτήν τη μετατόπιση είναι ότι η Microsoft έχει επιδιορθώσει σε μεγάλο βαθμό τις ευπάθειες του «PrintNightmare» τους τελευταίους τέσσερις μήνες και καλύφθηκε σε μεγάλο βαθμό από τα μέσα, ωθώντας τους διαχειριστές να προχωρήσουν σε ενημερώσεις ασφαλείας.
Ένας άλλος λόγος για τον οποίο το Magniber μπορεί να έχει στραφεί σε ελαττώματα του Internet Explorer είναι ότι είναι σχετικά εύκολο να ενεργοποιηθούν, βασιζόμενοι αποκλειστικά στην τόνωση της περιέργειας του παραλήπτη να ανοίξει ένα αρχείο ή μια ιστοσελίδα.
Μπορεί να φαίνεται περίεργο να στοχεύσετε ένα παλιό μη δημοφιλές πρόγραμμα περιήγησης όπως ο Internet Explorer. Ωστόσο, το StatCounter δείχνει ότι το 1,15% των παγκόσμιων προβολών σελίδας εξακολουθεί να προέρχεται από τον IE.
Αν και αυτό είναι ένα χαμηλό ποσοστό, το StatCounter παρακολουθεί πάνω από 10 δισεκατομμύρια προβολές σελίδων ανά μήνα, που ισοδυναμεί με 115.000.000 προβολές σελίδων από χρήστες του Internet Explorer.
Επιπλέον, είναι πολύ πιο δύσκολο να στοχεύσετε προγράμματα περιήγησης που βασίζονται σε Firefox και Chromium, όπως το Google Chrome και το Microsoft Edge, καθώς χρησιμοποιούν έναν μηχανισμό αυτόματης ενημέρωσης που προστατεύει γρήγορα τους χρήστες από γνωστά τρωτά σημεία.
Από την κυκλοφορία του, το Magniber ransomware έχει αναπτυχθεί πολύ ενεργά και το payload του έχει ξαναγραφεί πλήρως τρεις φορές.
Προς το παρόν, παραμένει μη σπασμένο, επομένως δεν υπάρχει αποκρυπτογραφητής που να σας βοηθά να επαναφέρετε τυχόν αρχεία που έχουν κρυπτογραφηθεί με αυτό το στέλεχος.
Τέλος, ο Magniber δεν ακολουθεί την τάση της κλοπής αρχείων και του διπλού εκβιασμού, επομένως η ζημιά από τις επιθέσεις τους περιορίζεται στην κρυπτογράφηση αρχείων.
Ως εκ τούτου, η λήψη τακτικών αντιγράφων ασφαλείας σε ασφαλή, απομονωμένα συστήματα είναι ένας πολύ αποτελεσματικός τρόπος αντιμετώπισης αυτής της συγκεκριμένης απειλής.
