Cryptowall-ransomware verspreidt zich via advertenties
Advertenties op verschillende populaire websites zijn vorige maand gebruikt om bezoekers met de Cryptowall-ransomware te infecteren. Deze vorm van ransomware versleutelt bestanden op de computer. Slachtoffers moeten vervolgens losgeld betalen om weer toegang tot de bestanden te krijgen.
Als slachtoffers van Cryptowall niet op tijd betalen wordt het losgeld verhoogd, zo waarschuwt netwerkgigant Cisco. Op welke websites de advertenties te zien waren laat Cisco niet weten, maar de code in de advertenties laadde onzichtbaar voor bezoekers een andere website waarop de RIG-exploitkit draaide. Deze exploitkit maakt misbruik van beveiligingslekken in Adobe Flash Player, Oracle Java en Microsoft Silverlight die niet door gebruikers zijn gepatcht om computers met malware te infecteren.
Silverlight
Eerder liet Cisco al weten dat het een toename van het aantal aanvallen op ongepatchte installaties van Microsoft Silverlight zag en die trend blijft zich voortzetten. "De frequentie van Silverlight blijft toenemen, en Java-exploits zijn aan het afnemen", zegt analist Andrew Tsonchev. Hij verwacht dat cybercriminelen advertenties zullen blijven gebruiken om malware te verspreiden en adviseert internetgebruikers dan ook om alle software te patchen, aangezien dat de beste maatregel is om dit soort aanvallen te voorkomen. Daarnaast is het verstandig om regelmatig back-ups te maken voor het geval een infectie toch plaatsvindt.
Met o.a. de opgegeven malware landingspages/referrers kan je best een eindje komen.
Leuk, lijstjes maken :
Malware pages op Country TopLevel Domain en op aantal gesorteerd
(foutjes voorbehouden)
.com - 46
.info - 33
.ml - 31 = Mali
.net - 13
.ga - 10 = Gabon
.org - 9
.co.vu - 8 = (.vu) Vanuatu
.cf - 6 = Central African Republic
.co.uk - 5 = United Kingdom - general use (usually commercial)
.nl - 3 (We horen erbij hoor!
.de - 2 = Germany
.fr - 2 = France
.in - 2 = India
.ir - 2 = Iran
.at - 1 = Austria
.be - 1 = Belgium
.cu.ma - 1 = (.ma) Morocco
.cz - 1 = Czech Republic
.es - 1 = Spain
.hr - 1 = Croatia
.hu - 1 = Hungary
.ie - 1 = Ireland
.it - 1 = Italy
.no - 1 = Norway
.se - 1 = Sweden
.su - 1 = Soviet Union
.tv - 1 = Tuvalu = > populair onder televisie media bedrijven ook in Nederland
.uk - 1 = United Kingdom
.us - 1 = United States of America (Formerly commonly used by US State and local governments)
.zw - 1 = Zimbabwe
Afrika timmert hard aan de weg zo te zien, :-(
Opmerkelijk dat er dit keer geen .biz domeinen tussen zitten, weinig oostelijker dan oostblok ook, behalve de 'beruchte' .su .
Wat kan je er bijvoorbeeld tegen doen?
(bij de meesten wel bekend, behalve 1 zelfontdekte gekkigheid, en die is nu juist zo aardig om eens uit te proberen)
• Media player browser plugins op "Click to play" instellen.
• Javascript monitoren met bijvoorbeeld "NoScript", iframes blokkeren, waarschuwen voor redirects en meer opties gebruiken.
• AdBlocker installeren
=>> Speciale rules aanmaken op ongewenste country top level domains waar je over het algemeen niet komt, buiten een per ongeluk redirect.
Extra rules voor bijvoorbeeld AdBlockplus, laten we Mali eens als voorbeeld nemen.
Toevoegen in een nieuw handmatig aangemaakte/toegevoegde filtergroep
Wat gebeurt er dan?
Dan wordt de pagina zo goed als geheel in plain text geladen, gestripped van bijna alle toeters en bellen die je maar kan bedenken.
Ik denk dat dit de kans op het laden van malware aanmerkelijk verkleint mocht je net toevallig op een pagina landen waar je liever niet was gekomen.
Je kan eenvoudig via een gevonden zoekresultaat in een zoekmachine of via een redirect op een wat exotischer domein komen. Je hebt het zelfs als je oplet niet altijd door.
Dit kan daarbij een beetje helpen, wordt je visueel ook gewaarschuwd door de manier waarop de pagina is geladen.
Stel je eigen lijst met minder gewenste vermoed risicovolle domeinen maar samen.
Zelf country domains opzoeken?
https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains
Tevens als bron gebruikt voor hier.
Met creatief gebruik van AdBlockplus kan je meer dan je denkt.
Bepaald niet waterdicht, genoeg domeinen die ook malware hosten en die je niet wil blokkeren, maar alle (leuke / gekke) beetjes helpen.
typisch geval van maak als het niet veilig is dan F die meuk.
nog een leuke veiligheid plugin:
-request policy, dat is noscript voor alle requests (bv GA & doubleclick). samen met noscript ideaal
en internetten in een virtual machine, als die compromised is, backup overheen kopieeren en klaar is kees
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
