Cryptowall-ransomware verspreidt zich via advertenties
Advertenties op verschillende populaire websites zijn vorige maand gebruikt om bezoekers met de Cryptowall-ransomware te infecteren. Deze vorm van ransomware versleutelt bestanden op de computer. Slachtoffers moeten vervolgens losgeld betalen om weer toegang tot de bestanden te krijgen.
Als slachtoffers van Cryptowall niet op tijd betalen wordt het losgeld verhoogd, zo waarschuwt netwerkgigant Cisco. Op welke websites de advertenties te zien waren laat Cisco niet weten, maar de code in de advertenties laadde onzichtbaar voor bezoekers een andere website waarop de RIG-exploitkit draaide. Deze exploitkit maakt misbruik van beveiligingslekken in Adobe Flash Player, Oracle Java en Microsoft Silverlight die niet door gebruikers zijn gepatcht om computers met malware te infecteren.
Silverlight
Eerder liet Cisco al weten dat het een toename van het aantal aanvallen op ongepatchte installaties van Microsoft Silverlight zag en die trend blijft zich voortzetten. "De frequentie van Silverlight blijft toenemen, en Java-exploits zijn aan het afnemen", zegt analist Andrew Tsonchev. Hij verwacht dat cybercriminelen advertenties zullen blijven gebruiken om malware te verspreiden en adviseert internetgebruikers dan ook om alle software te patchen, aangezien dat de beste maatregel is om dit soort aanvallen te voorkomen. Daarnaast is het verstandig om regelmatig back-ups te maken voor het geval een infectie toch plaatsvindt.
Met o.a. de opgegeven malware landingspages/referrers kan je best een eindje komen.
Leuk, lijstjes maken :
Malware pages op Country TopLevel Domain en op aantal gesorteerd
(foutjes voorbehouden)
.com - 46
.info - 33
.ml - 31 = Mali
.net - 13
.ga - 10 = Gabon
.org - 9
.co.vu - 8 = (.vu) Vanuatu
.cf - 6 = Central African Republic
.co.uk - 5 = United Kingdom - general use (usually commercial)
.nl - 3 (We horen erbij hoor!
.de - 2 = Germany
.fr - 2 = France
.in - 2 = India
.ir - 2 = Iran
.at - 1 = Austria
.be - 1 = Belgium
.cu.ma - 1 = (.ma) Morocco
.cz - 1 = Czech Republic
.es - 1 = Spain
.hr - 1 = Croatia
.hu - 1 = Hungary
.ie - 1 = Ireland
.it - 1 = Italy
.no - 1 = Norway
.se - 1 = Sweden
.su - 1 = Soviet Union
.tv - 1 = Tuvalu = > populair onder televisie media bedrijven ook in Nederland
.uk - 1 = United Kingdom
.us - 1 = United States of America (Formerly commonly used by US State and local governments)
.zw - 1 = Zimbabwe
Afrika timmert hard aan de weg zo te zien, :-(
Opmerkelijk dat er dit keer geen .biz domeinen tussen zitten, weinig oostelijker dan oostblok ook, behalve de 'beruchte' .su .
Wat kan je er bijvoorbeeld tegen doen?
(bij de meesten wel bekend, behalve 1 zelfontdekte gekkigheid, en die is nu juist zo aardig om eens uit te proberen)
• Media player browser plugins op "Click to play" instellen.
• Javascript monitoren met bijvoorbeeld "NoScript", iframes blokkeren, waarschuwen voor redirects en meer opties gebruiken.
• AdBlocker installeren
=>> Speciale rules aanmaken op ongewenste country top level domains waar je over het algemeen niet komt, buiten een per ongeluk redirect.
Extra rules voor bijvoorbeeld AdBlockplus, laten we Mali eens als voorbeeld nemen.
Toevoegen in een nieuw handmatig aangemaakte/toegevoegde filtergroep
Wat gebeurt er dan?
Dan wordt de pagina zo goed als geheel in plain text geladen, gestripped van bijna alle toeters en bellen die je maar kan bedenken.
Ik denk dat dit de kans op het laden van malware aanmerkelijk verkleint mocht je net toevallig op een pagina landen waar je liever niet was gekomen.
Je kan eenvoudig via een gevonden zoekresultaat in een zoekmachine of via een redirect op een wat exotischer domein komen. Je hebt het zelfs als je oplet niet altijd door.
Dit kan daarbij een beetje helpen, wordt je visueel ook gewaarschuwd door de manier waarop de pagina is geladen.
Stel je eigen lijst met minder gewenste vermoed risicovolle domeinen maar samen.
Zelf country domains opzoeken?
https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains
Tevens als bron gebruikt voor hier.
Met creatief gebruik van AdBlockplus kan je meer dan je denkt.
Bepaald niet waterdicht, genoeg domeinen die ook malware hosten en die je niet wil blokkeren, maar alle (leuke / gekke) beetjes helpen.
typisch geval van maak als het niet veilig is dan F die meuk.
nog een leuke veiligheid plugin:
-request policy, dat is noscript voor alle requests (bv GA & doubleclick). samen met noscript ideaal
en internetten in een virtual machine, als die compromised is, backup overheen kopieeren en klaar is kees
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.