[You must be registered and logged in to see this image.]Тази есен специалистите по информационна сигурност и борба с киберпрестъпленията
Talos Security Intelligence and Research Group към Cisco се похвалиха, че са нанесли сериозен удар по операторите на комплекта за експлоатиране на уязвимости
Angler, разкривайки и затваряйки голям контролен център за разпространението му. Изглежда обаче успехът на организацията не е бил толкова голям, тъй като от
Heimdal Security алармират за активна дейност на операторите му. Angler е
една от най-успешните платформи за разпространение на зловреден код, а операторите му интегрират в системата
експлойти за уязвимости понякога часове след излизането на обновления за тях. Имайки предвид, че много хора не бързат с налагането на обновления за софтуера си (да не говорим, че някои въобще не го правят), успехът на киберпрестъпниците често е повече от задоволителен.
Поддържащите Angler за пореден път демонстрират, че не са си отишли, като от скоро те са включили в комплекта и възможност за разпространението на четвъртата последна версия на
рансъмуер заплахата Cryptowall - месец след появата му. Освен това, тук присъства възможността за инфектиране със зловреда чрез „
drive-by download” атаки. Както знаете основен метод за инфектирането на системата е потребителят да отвори изпълним файл - т.е. чрез нарочно действие от негова страна. При drive-by download атаката обаче,
от него не се изисква никакво действие, освен да посети интернет ресурс, на който е разположен зловреден код или просто пред него да се зареди външно за сайта съдържание, като да речем
Flash реклама - метод, който често е използван при малвъртайзинг атаките. Получаващ сведение за браузъра, версията и добавките към него, компрометирания ресурс и свързания с него адрес, на който е разположен Angler вижда дали софтуерът е необновен и е наличен експлойт за откритата уязвимост за браузъра му, Flash Player илидруг уязвим софтуер, инсталиран на машината. Именно уязвимият софтуер позволява и атаката да е успешна, явявайки се „вратата”, през която влиза зловредния код в системата.
Настоящите атаки, коментират от Heimdal, протичат в две фази. Първоначално престъпниците инсталират на системата троянската програма от семейството на
Pony, която претърсва системата с цел да открие данни за вписване в уеб сървър или CMS система и ако намери такива ги изпраща към атакуващата страна. Веднъж поели контрол над интернет ресурс, те инжектират зловреден код в него, който
пренасочва посетителите на напълно легитимна страница към специално изготвени от страна на престъпниците сайтове, на които е разположен Angler. Той анализира системата, софтуера, инсталиран на нея и течащите в паметта процеси (за MS Windows). Открил дупка в системата, Angler се възползва от нея и инсталира
CryptoWall 4.0.
[You must be registered and logged in to see this link.], тази версия на
криптовируса се отличава с ред промени, в сравнение с третата версия на рансъмуер програмата, между които и
криптиране на файловите имена. Това прави възстановяването на данните по-трудно, но според
Боб Ковело, специалист по информационна защита и автор на множество публикации по темата за компютърната сигурност, това е и
слабост на заплахата, тъй като вече потребителят може да види в реално време действието на заплахата. Изключването на захранването, подавано към машината спира и разпространението към други файлове.
Специалистите са затворили над 200 домейна, разпространяващи заплахата, но съобщават, че стотина страници в Дания са компрометирани. Източник на засечената от Heimdal атака е Украйна.
Следвайте съветите на специалистите и
дръжте винаги обновена системата си, софтуера и добавките към браузъра си. Възползвайте се от възможността, ако не да изключите напълно Flash в браузъра си, то поне да настроите браузъра ви да показва Flash съдържание „при поискване”. Инсталирайте антималуер решение и
проявявайте благоразумие в Интернет.
Наскоро BitDefender обновиха своя
инструмент за защита срещу Cryptowall, така че да ви предпази от тази нова четвърта версия. Може да го използвате, но знайте, че
той не „лекува” системата ви и не разкодира вече компрометирани обекти, а ви защитава срещу заразяване с
криптовируса./kaldata.com