Cryptowall-ransomware verspreidt zich via advertenties
Advertenties op verschillende populaire websites zijn vorige maand gebruikt om bezoekers met de Cryptowall-ransomware te infecteren. Deze vorm van ransomware versleutelt bestanden op de computer. Slachtoffers moeten vervolgens losgeld betalen om weer toegang tot de bestanden te krijgen.
Als slachtoffers van Cryptowall niet op tijd betalen wordt het losgeld verhoogd, zo waarschuwt netwerkgigant Cisco. Op welke websites de advertenties te zien waren laat Cisco niet weten, maar de code in de advertenties laadde onzichtbaar voor bezoekers een andere website waarop de RIG-exploitkit draaide. Deze exploitkit maakt misbruik van beveiligingslekken in Adobe Flash Player, Oracle Java en Microsoft Silverlight die niet door gebruikers zijn gepatcht om computers met malware te infecteren.
Silverlight
Eerder liet Cisco al weten dat het een toename van het aantal aanvallen op ongepatchte installaties van Microsoft Silverlight zag en die trend blijft zich voortzetten. "De frequentie van Silverlight blijft toenemen, en Java-exploits zijn aan het afnemen", zegt analist Andrew Tsonchev. Hij verwacht dat cybercriminelen advertenties zullen blijven gebruiken om malware te verspreiden en adviseert internetgebruikers dan ook om alle software te patchen, aangezien dat de beste maatregel is om dit soort aanvallen te voorkomen. Daarnaast is het verstandig om regelmatig back-ups te maken voor het geval een infectie toch plaatsvindt.
Met o.a. de opgegeven malware landingspages/referrers kan je best een eindje komen.
Leuk, lijstjes maken :
Malware pages op Country TopLevel Domain en op aantal gesorteerd
(foutjes voorbehouden)
.com - 46
.info - 33
.ml - 31 = Mali
.net - 13
.ga - 10 = Gabon
.org - 9
.co.vu - 8 = (.vu) Vanuatu
.cf - 6 = Central African Republic
.co.uk - 5 = United Kingdom - general use (usually commercial)
.nl - 3 (We horen erbij hoor!
.de - 2 = Germany
.fr - 2 = France
.in - 2 = India
.ir - 2 = Iran
.at - 1 = Austria
.be - 1 = Belgium
.cu.ma - 1 = (.ma) Morocco
.cz - 1 = Czech Republic
.es - 1 = Spain
.hr - 1 = Croatia
.hu - 1 = Hungary
.ie - 1 = Ireland
.it - 1 = Italy
.no - 1 = Norway
.se - 1 = Sweden
.su - 1 = Soviet Union
.tv - 1 = Tuvalu = > populair onder televisie media bedrijven ook in Nederland
.uk - 1 = United Kingdom
.us - 1 = United States of America (Formerly commonly used by US State and local governments)
.zw - 1 = Zimbabwe
Afrika timmert hard aan de weg zo te zien, :-(
Opmerkelijk dat er dit keer geen .biz domeinen tussen zitten, weinig oostelijker dan oostblok ook, behalve de 'beruchte' .su .
Wat kan je er bijvoorbeeld tegen doen?
(bij de meesten wel bekend, behalve 1 zelfontdekte gekkigheid, en die is nu juist zo aardig om eens uit te proberen)
• Media player browser plugins op "Click to play" instellen.
• Javascript monitoren met bijvoorbeeld "NoScript", iframes blokkeren, waarschuwen voor redirects en meer opties gebruiken.
• AdBlocker installeren
=>> Speciale rules aanmaken op ongewenste country top level domains waar je over het algemeen niet komt, buiten een per ongeluk redirect.
Extra rules voor bijvoorbeeld AdBlockplus, laten we Mali eens als voorbeeld nemen.
Toevoegen in een nieuw handmatig aangemaakte/toegevoegde filtergroep
Wat gebeurt er dan?
Dan wordt de pagina zo goed als geheel in plain text geladen, gestripped van bijna alle toeters en bellen die je maar kan bedenken.
Ik denk dat dit de kans op het laden van malware aanmerkelijk verkleint mocht je net toevallig op een pagina landen waar je liever niet was gekomen.
Je kan eenvoudig via een gevonden zoekresultaat in een zoekmachine of via een redirect op een wat exotischer domein komen. Je hebt het zelfs als je oplet niet altijd door.
Dit kan daarbij een beetje helpen, wordt je visueel ook gewaarschuwd door de manier waarop de pagina is geladen.
Stel je eigen lijst met minder gewenste vermoed risicovolle domeinen maar samen.
Zelf country domains opzoeken?
https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains
Tevens als bron gebruikt voor hier.
Met creatief gebruik van AdBlockplus kan je meer dan je denkt.
Bepaald niet waterdicht, genoeg domeinen die ook malware hosten en die je niet wil blokkeren, maar alle (leuke / gekke) beetjes helpen.
typisch geval van maak als het niet veilig is dan F die meuk.
nog een leuke veiligheid plugin:
-request policy, dat is noscript voor alle requests (bv GA & doubleclick). samen met noscript ideaal
en internetten in een virtual machine, als die compromised is, backup overheen kopieeren en klaar is kees
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior securityspecialist
Agentschap Telecom
De cyberveiligheid van Nederland valt of staat met veilige producten, diensten en processen. Agentschap Telecom houdt Nederland veilig verbonden. Binnenkort krijgen wij een nieuwe taak als toezichthouder op cybercertificeringen. Jouw professionaliteit als senior securityspecialist en pioniersgeest zijn essentieel om deze nieuwe unit succesvol op poten te zetten.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.