Atak hakerski na blog „The Independent”

Miliony użytkowników zostało narażonych na zainfekowanie wirusem TeslaCrypt ransomware. Serwis pracuje nad powstrzymaniem zagrożenia, które cały czas może wpłynąć na bezpieczeństwo czytelników.

Zespół Trend Micro monitorując aktywność Angler Exploit Kit, wykrył naruszenie bezpieczeństwa portalu blogowego „The Independent”. Użytkownicy bloga korzystający z przeglądarki bez zaktualizowanej wtyczki Adobe Flash Player byli przekierowani na zawirusowane strony, a ich systemy automatycznie pobierały złośliwe oprogramowanie o nazwie Cryptesla 2.2.0 (oznaczone przez Trend Micro jako RANSOM_CRYPTESLA.YYSIX). Wirus zmieniał rozszerzenie zainfekowanych plików na „.vvv”, żądając okupu za zaszyfrowane treści.

„Trzeba zaznaczyć, że problem dotyczy nie całego serwisu „The Independent”, tylko części blogowej. Aby dokonać włamania na serwer obsługujący blogi, wykorzystano tu pewne słabości czy podatności w mechanizmie popularnego komponentu WordPress. Dołożono element, który wszystkim czytelnikom części blogowej próbuje zaimplantować exploit Angler Kit” — mówi Michał Jarski, Regional Director CEE w firmie Trend Micro.

Sytuacja jest wyjątkowa, ponieważ atakując słabszą pod względem bezpieczeństwa część serwisu „The Independent”, cyberprzestępcy osiągnęli podobne wyniki, jakie uzyskaliby w przypadku ataku na sekcję redakcyjną. Główne, oficjalne strony www są chronione przez mechanizmy zabezpieczające treści – każda zmiana czy atak na pewno byłby szybciej wykryty. Jeśli zaatakuje się mniej monitorowaną część serwisu informacyjnego, można jednak uzyskać taki sam wpływ na użytkowników, jednocześnie dłużej pozostając w ukryciu. Efekt działania nie jest jawny, a zatem istnieje mniejsze prawdopodobieństwo, że zagrożenie zostanie szybko wykryte. Z pewnością nie można tego wydarzenia zakwalifikować jako atak ukierunkowany, jednakże wykorzystano rozpoznawalność marki „The Independent” właśnie dlatego, aby dotrzeć do jak największej liczby potencjalnych ofiar.

Współczesne serwisy internetowe składają się z wielu komponentów, różnych bibliotek, które automatyzują pewne zadania. Bardzo ważna jest świadomość, z jakich elementów się korzysta, a także troska o ich bieżącą aktualizację – zupełnie jak w przypadku komputera osobistego. Równie istotne jest monitorowanie wydarzeń z branży bezpieczeństwa IT i świadomość tego, jakie ataki czy zagrożenia są w danej chwili najpowszechniejsze, jak się przed nimi ustrzec, wreszcie w jaki sposób wzmacniać konfigurację, aby była odporna na włamania. Bardzo ważny jest oczywiście bieżący monitoring zachowania się samych serwerów oraz sprawdzanie, czy wystąpiły przerwy w działaniu, które mogłyby świadczyć o tym, że ktoś przejął przynajmniej czasowo kontrolę nad serwerem. Użytkownicy powinni również pamiętać o aktualizacji lub wyłączeniu wtyczki Adobe Flash, której podatności są często wykorzystywane przez włamywaczy do uzyskiwania kontroli nad komputerami.

0
Źródło: Trend Micro
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.