Milhares de websites atacados com ransomware CryptXXX

No mês passado, milhares de sites construído sobre as plataformas WordPress e Joomla! foram comprometidos para redirecionar os usuários para o ransomware CryptXXX, revelam os pesquisadores da Sucuri, empresa brasileira de segurança.
Esta campanha de infecção em massa supostamente começou no dia 9 de junho, mas os pesquisadores observaram aumento significativo em 3 de julho. De acordo com a Sucuri, pelo menos 2.000 sites foram injetados com código malicioso, mas uma estimativa realista seria 5x vezes maior, porque a estimativa é baseada em dados provenientes apenas do scanner de SiteCheck, que tem alcance limitado.
A característica principal desta campanha é o uso de domínios realstatistics[.]info e realstatistics[.]pro para redirecionar os usuários para uma página de lançamento do Neutrino Explorer Kit (EK). O Neutrino, atualmente a principal ameaça no universo EK, tenta alavancar em Flash ou PDF na máquina de destino e descarrega o ransomware CryptXXX se bem sucedido.
Há poucos dias, os investigadores da Forcepoint revelaram que os domínios acima referidos foram utilizados como sistemas de redirecionamento do tráfego (TDSS) em campanhas Neutrino e distribuição RIG em curso. Os pesquisadores associaram os domínios com o velho Blackhat-TDS de dois anos atrás, explicando que eles foram usados para redirecionar apenas usuários desavisados à página de destino do EK, enquanto servindo páginas limpas a intervalos de IP na lista negra (que representam os fornecedores de segurança, motores de busca e varredura web Serviços).
O que os pesquisadores Forcepoint não revelaram no entanto, foi a extensão da campanha e como os atacantes conseguiram comprometer websites. Agora, a Sucuri explica que 60% dos sites afetados estão usando versões ultrapassadas do Joomla! e do WordPress, mas também dizem que os atacantes muito provavelmente têm abusado de componentes vulneráveis, como plugins e extensões.
Com milhares de sites comprometidos à sua disposição, incluindo alguns destinos relacionados à segurança, como o "PCI Policy Portal", os atacantes podem atingir dezenas de milhares de usuários ao mesmo tempo, infectando muitos deles com o ransomware CryptXXX.
Um par de semanas atrás, os pesquisadores da SentinelOne revelaram que os operadores CryptXXX fizeram USD 50.000 em menos de três semanas em apenas um endereço Bitcoin.
O CryptXXX tornou-se o top ransomware lá fora e tem recebido inúmeras alterações ao longo dos últimos dois meses, objetivando escapar de rotinas e programas de detecção.
A mudança mais recente foi observado por pelo pesquisador Brad Duncan do Internet Storm Center da SANS esta semana, quando o ransomware começou a usar uma nova nota de resgate e um novo site de pagamento. Duncan observa que a mudança na atividade de pós-infecção do CryptXXX inclui o fato de que agora transfere arquivos de texto e HTML para as instruções de descriptografia em claro.
Além disso, Lawrence Abrams da Bleeping Computer revela que o CryptXXX não usa uma extensão especial para os arquivos criptografados e que as vítimas são agora dirigida para um novo local de pagamento chamado Microsoft Decryptor . Ao contrário do portal de pagamento anterior, o novo site não fornece mais às vítimas, a possibilidade de entrar em contato com os administradores se eles tiverem problemas de pagamento.