Gehackte Go Daddy-sites verspreiden ransomware
Aanvallers zijn erin geslaagd om de DNS van bij Go Daddy gehoste websites te wijzigen en naar kwaadaardige websites te laten wijzen. Hoe de aanvallers toegang tot de DNS-gegevens hebben gekregen is op dit moment nog onbekend. Het Domain Name System (DNS) fungeert als het telefoonboek van het internet. Het stelt een computer in staat het IP-adres te vinden dat bij een domeinnaam of subdomein hoort.
Bij de nu ontdekte aanvallen voegden de aanvallers extra subdomeinen toe. De subdomeinen wijzen weer naar kwaadaardige servers die verschillende exploits bevatten. Op deze manier hopen de aanvallers detectie door beveiligingsfilters te omzeilen en kan men gebruikers laten geloven dat het om legitieme content gaat.
De gebruikte exploits misbruiken beveiligingslekken in Adobe Reader en Java. Via de exploits wordt ransomware op het systeem geïnstalleerd, zegt Fraser Howard van anti-virusbedrijf Sophos.
P4wn3d tot de max en terug...
Ik ga dus tijdelijk de hele Go Daddy IP range even blocken...
Edit: Da's dus nog een hele queeste...
Tot nu toe:
GoDaddy.com Inc.
NetRange 50.62.0.0 - 50.63.255.255
NetRange 64.202.160.0 - 64.202.191.255
NetRange 68.178.128.0 - 68.178.255.255
NetRange 97.74.0.0 - 97.74.255.255
NetRange 173.201.0.0 - 173.201.255.255
NetRange 184.168.0.0 - 184.168.255.255
NetRange 208.109.0.0 - 208.109.255.255
NetRange 216.69.128.0 - 216.69.191.255
Aanvullingen zijn welkom...
Overigens zou ik een perm-ban wel eerst heel serieus overwegen, ik blijf voorlopig nog even op tijdelijk.
Dit bedrijf registreert domeinnamen en levert DNS services.
Als die dienst gehacked is dan bereik je toch helemaal niks met een IP block?
Als je kijkt naar het aantal infecties dan zijn ze waarschijnlijk achter username/password gekomen van de sites in kwestie.
En de officiële verklaring van GoDaddy:
Go Daddy has detected a very small number of accounts have malicious DNS entries placed on their domain names. We have been identifying affected customers and reversing the malicious entries as we find them. Also, we're expiring the passwords of affected customers so the threat actors cannot continue to use the accounts to spread malware.
We suspect that the affected customers have been phished or their home machines have been affected by Cool Exploit as we have confirmed that this is not a vulnerability in the My Account or DNS management systems.
Go Daddy highly recommends that US- and Canada-based customers enable 2-Step Authentication to help protect their accounts. Details on how to set up this feature are located at http://support.godaddy.com/help/article/7502/enabling-twostep-authentication.
If a customer suspects their account may have an issue, we encourage them to contact Go Daddy Customer Care or fill out the form at the following link: https://support.godaddy.com/support/?section=support.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.