Cryptowall-ransomware verspreidt zich via advertenties
Advertenties op verschillende populaire websites zijn vorige maand gebruikt om bezoekers met de Cryptowall-ransomware te infecteren. Deze vorm van ransomware versleutelt bestanden op de computer. Slachtoffers moeten vervolgens losgeld betalen om weer toegang tot de bestanden te krijgen.
Als slachtoffers van Cryptowall niet op tijd betalen wordt het losgeld verhoogd, zo waarschuwt netwerkgigant Cisco. Op welke websites de advertenties te zien waren laat Cisco niet weten, maar de code in de advertenties laadde onzichtbaar voor bezoekers een andere website waarop de RIG-exploitkit draaide. Deze exploitkit maakt misbruik van beveiligingslekken in Adobe Flash Player, Oracle Java en Microsoft Silverlight die niet door gebruikers zijn gepatcht om computers met malware te infecteren.
Silverlight
Eerder liet Cisco al weten dat het een toename van het aantal aanvallen op ongepatchte installaties van Microsoft Silverlight zag en die trend blijft zich voortzetten. "De frequentie van Silverlight blijft toenemen, en Java-exploits zijn aan het afnemen", zegt analist Andrew Tsonchev. Hij verwacht dat cybercriminelen advertenties zullen blijven gebruiken om malware te verspreiden en adviseert internetgebruikers dan ook om alle software te patchen, aangezien dat de beste maatregel is om dit soort aanvallen te voorkomen. Daarnaast is het verstandig om regelmatig back-ups te maken voor het geval een infectie toch plaatsvindt.
Met o.a. de opgegeven malware landingspages/referrers kan je best een eindje komen.
Leuk, lijstjes maken :
Malware pages op Country TopLevel Domain en op aantal gesorteerd
(foutjes voorbehouden)
.com - 46
.info - 33
.ml - 31 = Mali
.net - 13
.ga - 10 = Gabon
.org - 9
.co.vu - 8 = (.vu) Vanuatu
.cf - 6 = Central African Republic
.co.uk - 5 = United Kingdom - general use (usually commercial)
.nl - 3 (We horen erbij hoor!
.de - 2 = Germany
.fr - 2 = France
.in - 2 = India
.ir - 2 = Iran
.at - 1 = Austria
.be - 1 = Belgium
.cu.ma - 1 = (.ma) Morocco
.cz - 1 = Czech Republic
.es - 1 = Spain
.hr - 1 = Croatia
.hu - 1 = Hungary
.ie - 1 = Ireland
.it - 1 = Italy
.no - 1 = Norway
.se - 1 = Sweden
.su - 1 = Soviet Union
.tv - 1 = Tuvalu = > populair onder televisie media bedrijven ook in Nederland
.uk - 1 = United Kingdom
.us - 1 = United States of America (Formerly commonly used by US State and local governments)
.zw - 1 = Zimbabwe
Afrika timmert hard aan de weg zo te zien, :-(
Opmerkelijk dat er dit keer geen .biz domeinen tussen zitten, weinig oostelijker dan oostblok ook, behalve de 'beruchte' .su .
Wat kan je er bijvoorbeeld tegen doen?
(bij de meesten wel bekend, behalve 1 zelfontdekte gekkigheid, en die is nu juist zo aardig om eens uit te proberen)
• Media player browser plugins op "Click to play" instellen.
• Javascript monitoren met bijvoorbeeld "NoScript", iframes blokkeren, waarschuwen voor redirects en meer opties gebruiken.
• AdBlocker installeren
=>> Speciale rules aanmaken op ongewenste country top level domains waar je over het algemeen niet komt, buiten een per ongeluk redirect.
Extra rules voor bijvoorbeeld AdBlockplus, laten we Mali eens als voorbeeld nemen.
Toevoegen in een nieuw handmatig aangemaakte/toegevoegde filtergroep
Wat gebeurt er dan?
Dan wordt de pagina zo goed als geheel in plain text geladen, gestripped van bijna alle toeters en bellen die je maar kan bedenken.
Ik denk dat dit de kans op het laden van malware aanmerkelijk verkleint mocht je net toevallig op een pagina landen waar je liever niet was gekomen.
Je kan eenvoudig via een gevonden zoekresultaat in een zoekmachine of via een redirect op een wat exotischer domein komen. Je hebt het zelfs als je oplet niet altijd door.
Dit kan daarbij een beetje helpen, wordt je visueel ook gewaarschuwd door de manier waarop de pagina is geladen.
Stel je eigen lijst met minder gewenste vermoed risicovolle domeinen maar samen.
Zelf country domains opzoeken?
https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains
Tevens als bron gebruikt voor hier.
Met creatief gebruik van AdBlockplus kan je meer dan je denkt.
Bepaald niet waterdicht, genoeg domeinen die ook malware hosten en die je niet wil blokkeren, maar alle (leuke / gekke) beetjes helpen.
typisch geval van maak als het niet veilig is dan F die meuk.
nog een leuke veiligheid plugin:
-request policy, dat is noscript voor alle requests (bv GA & doubleclick). samen met noscript ideaal
en internetten in een virtual machine, als die compromised is, backup overheen kopieeren en klaar is kees
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.