Milhares de websites atacados com ransomware CryptXXX

 

No mês passado, milhares de sites construído sobre as plataformas WordPress e Joomla! foram comprometidos para redirecionar os usuários para o ransomware CryptXXX, revelam os  pesquisadores da Sucuri, empresa brasileira de segurança.

 

Esta campanha de infecção em massa supostamente começou no dia 9 de junho, mas os pesquisadores observaram aumento significativo em 3 de julho. De acordo com a Sucuri, pelo menos 2.000 sites foram injetados com código malicioso, mas uma estimativa realista seria 5x vezes maior, porque a estimativa é baseada em dados provenientes apenas do scanner de SiteCheck, que tem alcance limitado.

 

A característica principal desta campanha é o uso de domínios realstatistics[.]info e realstatistics[.]pro para redirecionar os usuários para uma página de lançamento do Neutrino Explorer Kit (EK). O Neutrino, atualmente a principal ameaça no universo EK, tenta alavancar em Flash ou PDF na máquina de destino e descarrega o ransomware CryptXXX se bem sucedido.

 

Há poucos dias, os investigadores da Forcepoint revelaram que os domínios acima referidos foram utilizados como sistemas de redirecionamento do tráfego (TDSS) em campanhas Neutrino e distribuição RIG em curso. Os pesquisadores associaram os domínios com o velho Blackhat-TDS de dois anos atrás, explicando que eles foram usados ​​para redirecionar apenas usuários desavisados ​à página de destino do EK, enquanto servindo páginas limpas a intervalos de IP na lista negra (que representam os fornecedores de segurança, motores de busca e varredura web Serviços).

 

O que os pesquisadores Forcepoint não revelaram no entanto, foi a extensão da campanha e como os atacantes conseguiram comprometer websites. Agora, a Sucuri explica que 60% dos sites afetados estão usando versões ultrapassadas do Joomla! e do WordPress, mas também dizem que os atacantes muito provavelmente têm abusado de componentes vulneráveis, como plugins e extensões.

 

Com milhares de sites comprometidos à sua disposição, incluindo alguns destinos relacionados à segurança, como o "PCI Policy Portal", os atacantes podem atingir dezenas de milhares de usuários ao mesmo tempo, infectando muitos deles com o ransomware CryptXXX. 

 

Um par de semanas atrás, os pesquisadores da SentinelOne revelaram que os operadores CryptXXX fizeram USD 50.000 em menos de três semanas em apenas um endereço Bitcoin.

 

O CryptXXX tornou-se o top ransomware lá fora e tem recebido inúmeras alterações ao longo dos últimos dois meses, objetivando escapar de rotinas e programas de detecção.

 

A mudança mais recente foi observado por pelo pesquisador Brad Duncan do Internet Storm Center da SANS esta semana, quando o ransomware começou a usar uma nova nota de resgate e um novo site de pagamento. Duncan observa que a mudança na atividade de pós-infecção do CryptXXX inclui o fato de que agora transfere arquivos de texto e HTML para as instruções de descriptografia em claro.

 

Além disso, Lawrence Abrams da Bleeping Computer revela que o CryptXXX não usa uma extensão especial para os arquivos criptografados e que as vítimas são agora dirigida para um novo local de pagamento chamado Microsoft Decryptor . Ao contrário do portal de pagamento anterior, o novo site não fornece mais às vítimas, a possibilidade de entrar em contato com os administradores se eles tiverem problemas de pagamento.

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016

Please reload

Arquivo
Please reload

Busca por Tags