image

Gehackte Go Daddy-sites verspreiden ransomware

vrijdag 23 november 2012, 15:40 door Redactie, 14 reacties

Aanvallers zijn erin geslaagd om de DNS van bij Go Daddy gehoste websites te wijzigen en naar kwaadaardige websites te laten wijzen. Hoe de aanvallers toegang tot de DNS-gegevens hebben gekregen is op dit moment nog onbekend. Het Domain Name System (DNS) fungeert als het telefoonboek van het internet. Het stelt een computer in staat het IP-adres te vinden dat bij een domeinnaam of subdomein hoort.

Bij de nu ontdekte aanvallen voegden de aanvallers extra subdomeinen toe. De subdomeinen wijzen weer naar kwaadaardige servers die verschillende exploits bevatten. Op deze manier hopen de aanvallers detectie door beveiligingsfilters te omzeilen en kan men gebruikers laten geloven dat het om legitieme content gaat.

De gebruikte exploits misbruiken beveiligingslekken in Adobe Reader en Java. Via de exploits wordt ransomware op het systeem geïnstalleerd, zegt Fraser Howard van anti-virusbedrijf Sophos.

Reacties (14)
23-11-2012, 15:51 door AdVratPatat
Dan kunnen we dus rustig stellen dat Go Daddy zelf gehackt is, dat de aanvaller het voor elkaar heeft gekregen om de (EDIT: waarschijnlijk onversleutelde + unsalted) DNS-db te bereiken, uit te lezen, te wijzigen en vervolgens zijn eigen versie te plaatsen en Go Daddy dus zelf kwaadaardige DNS-verwijzingen heeft doorgezonden aan de onafhankelijke DNS-servers.
P4wn3d tot de max en terug...


Ik ga dus tijdelijk de hele Go Daddy IP range even blocken...
23-11-2012, 17:22 door Anoniem
Grappig met zo'n naam Go Daddy...
24-11-2012, 00:32 door Anoniem
Euhm... ik gok dat de nieuwe DNS-records niet naar de GoDaddy-IP-range wijzen...
24-11-2012, 09:38 door [Account Verwijderd]
[Verwijderd]
24-11-2012, 09:48 door [Account Verwijderd]
[Verwijderd]
24-11-2012, 12:31 door fd0
alle waar naar zijn geld?
24-11-2012, 12:52 door AdVratPatat
Voor wie geen zin heeft te Googlen ;]
Edit: Da's dus nog een hele queeste...
Tot nu toe:

GoDaddy.com Inc.

NetRange 50.62.0.0 - 50.63.255.255

NetRange 64.202.160.0 - 64.202.191.255

NetRange 68.178.128.0 - 68.178.255.255

NetRange 97.74.0.0 - 97.74.255.255

NetRange 173.201.0.0 - 173.201.255.255

NetRange 184.168.0.0 - 184.168.255.255

NetRange 208.109.0.0 - 208.109.255.255

NetRange 216.69.128.0 - 216.69.191.255

Aanvullingen zijn welkom...
Overigens zou ik een perm-ban wel eerst heel serieus overwegen, ik blijf voorlopig nog even op tijdelijk.
24-11-2012, 13:09 door [Account Verwijderd]
[Verwijderd]
24-11-2012, 14:10 door Anoniem
Wat heeft het voor zin om IP ranges te gaan blokkeren?
Dit bedrijf registreert domeinnamen en levert DNS services.
Als die dienst gehacked is dan bereik je toch helemaal niks met een IP block?
24-11-2012, 16:57 door Anoniem
Go Daddy Go...
26-11-2012, 01:19 door Anoniem
Hun DNS is al 2x gehackt. Ze hebben het daar zeker niet helemaal op orde.
26-11-2012, 16:41 door Security Scene Team
Ivo opstelten zit daarachter, hij heeft een nieuw wapen: Ransomware met zijn foto op je wallpaper die niet te verwijderen is. mits u 100euro betaald natuurlijk.
27-11-2012, 09:59 door DarkieDuck
Beetje makkelijk om dit op GoDaddy af te schuiven.
Als je kijkt naar het aantal infecties dan zijn ze waarschijnlijk achter username/password gekomen van de sites in kwestie.

En de officiële verklaring van GoDaddy:

Go Daddy has detected a very small number of accounts have malicious DNS entries placed on their domain names. We have been identifying affected customers and reversing the malicious entries as we find them. Also, we're expiring the passwords of affected customers so the threat actors cannot continue to use the accounts to spread malware.

We suspect that the affected customers have been phished or their home machines have been affected by Cool Exploit as we have confirmed that this is not a vulnerability in the My Account or DNS management systems.

Go Daddy highly recommends that US- and Canada-based customers enable 2-Step Authentication to help protect their accounts. Details on how to set up this feature are located at http://support.godaddy.com/help/article/7502/enabling-twostep-authentication.

If a customer suspects their account may have an issue, we encourage them to contact Go Daddy Customer Care or fill out the form at the following link: https://support.godaddy.com/support/?section=support.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.