Mange danske virksomheder og kommuner har bøvlet med ransomware i sommerferien. I særdeleshed har kidnapningssoftwaren "Cryptowall3" været særligt aktiv, og det er der en god grund til. I det følgende finder du årsagen.
CSIS har analyseret de akutuelle incidents, som vi har været involveret i, og der tegner sig et tydeligt mønster.
Alene herhjemme i Danmark er flere end 250 websider blevet systematisk kompromitteret, og it-kriminelle har brugt denne lejlighed til at indsætte et ondsindet script (se skærmdump herunder) flere centrale steder på websiden. 
Det pågældende script (base64 kodet) flytter brugeren til det kommercielle exploitkit, kendt som AnglerEK, via forskellige domæner som løbende roterer.
Som nævnt har vi positivt bekræftet flere end 250 websider herhjemme i Danmark - og flere end 70.000 på globalt plan.
Herunder et lille udsnit af websider herhjemme, som desværre også tæller flere store og velbesøgte websites, hvilket forklarer det stigende antal af incidents relateret til Cryptowall3 ransomwaren:
kunde[.]statoil[.]dk
p360[.]dk
plo-e[.]dk
slankeklubben[.]dk
blitz[.]envo[.]dk
f35[.]dk
videoad[.]dk
matchbiler[.]dk
socval[.]dk
bandana[.]minus-akasse[.]dk
peterpackroff[.]dk
danskemarketing[.]dk
agrodata[.]dk
biostata[.]dk
bisontelt[.]dk
heatweed[.]dk
foodsense[.]dk
thermo-fug[.]dk
pjank[.]dk
cuma[.]dk
paraplyshop[.]dk
eventcom[.]dk
riven[.]dk
nemliga[.]dk
danskenetspil[.]dk
AnglerEK beskyder Flash og Java
AnglerEK affyrer exploits rettet mod nyere versioner af Flash Player og JavaJRE. Hvis systemet er sårbart vil dette tvangsfodre maskinen med Cryptowall3. Se tidligere analyse af Cryptowall varianter som er postet på vores webside eller udsendt via vores platinum alert service.
Vores analyse afslører, at de mange kompromitterede websider kører CMS software som ikke er behørigt opdateret. Derved er det lykkedes at lave masse kompromitteringer og injekte det uønskede script på de mange websider. Blandt de positive mål, som udsættes for automatiseret kompromittering, finder vi: Wordpress, Joomla, Drupal m.fl.
AnglerEK leverer kun payloaden en gang per IP adresse som besøger EK gatewayen. Den indeholder derudover en lang blackliste over IP adresser, som aldrig modtager nogen payload, og det besværliggør indlysende reproduktion af payloaden.
Antivirus detektion for AnglerEK er generelt lav og payloaden roterer løbende, hvilket betyder at den rette løsning er at implementere fuld patch management af kritiske trejdepartsprodukter hen over hele netværket samt eksterne arbejdsspladser, og med særlig vægt på Flash Player, Adobe Reader/Acrobat og JavaJRE. Det er samtidig vigtigt også at opprioritere fokus på webserver sikkerheden og navnligt applikationer som tjener til formålet at styre og ændre indholdet på websiderne. Hvis disse applikationer ikke er korrekt opdateret - eller plugins er installeret uden at de er blevet løbende vedligeholdt - er det en tikkende bombe under virksomheden, som kan skade besøgende og samarbejdspartnere.
Alle skadelige domæner er blokeret i CSIS Secure DNS og Heimdal.
Virksomheder, som ikke gør professionelt brug af Flash Player, kan overveje at afinstallere/deaktivere dette plugin.
↧
CSIS Blog: Websider i Danmark leverer ransomware
↧