Kovter-ransomware besmet 43.000 computers op één dag
Een agressieve vorm van ransomware genaamd Kovter heeft in juni op één dag 43.000 computers weten te besmetten. Net als veel andere ransomware vergrendelt Kovter de computer. Gebruikers krijgen vervolgens een waarschuwing te zien dat ze een misdrijf hebben begaan.
Om weer toegang tot de gegevens te krijgen moet een boete worden betaald. In het geval van Kovter worden er bedragen tussen de 300 en 1.000 dollar gevraagd. De ransomware gebruikt allerlei tactieken om slachtoffers tot betalen te dwingen. Een versie die vorig jaar april verscheen zocht in de browsergeschiedenis van gebruikers naar bezochte pornosites en toonde die vervolgens in de ransomware-waarschuwing.
Een variant die vorig jaar oktober opdook ging nog veel verder. Deze variant laadde eerst verschillende kinderpornosites in de browser, voordat de vergrendeling in werking trad. Vervolgens kregen gebruikers een waarschuwing te zien dat ze kinderporno hadden bekeken. Volgens beveiligingsbedrijf Damballa vond er in het tweede kwartaal van dit jaar een sterke stijging van het aantal Kovter-infecties plaats. In mei was er zelfs een 153% toename ten opzichte van april en in juni steeg het aantal infecties nog altijd met 52% ten opzichte van mei.
Het eerder genoemde aantal infecties van 43.000 computers vond op slechts één dag plaats. Gemiddeld raakten in juni elke dag bijna 38.000 computers met Kovter besmet. Kovter verspreidt zich via exploitkits die van bekende lekken in bijvoorbeeld Java en Adobe Reader gebruik maken die niet door internetgebruikers zijn gepatcht. Het up-to-date houden van software kan deze infecties dan ook voorkomen.
1) Mag er / is het het overwegen waard om bij artikel-links waaronder een pdf download verstopt zit (want vanwege security bekijken we pdf's natuurlijk / toch niet direct in de browser zelf?) voortaan een kleine toevoeging achter de link als "(.pdf)" ?
Het is mij bekend dat een hover onderaan een link toont waaruit ik aan het einde zou kunnen opmaken dat het om een pdf file gaat, maar toch is dat niet altijd gezien.
@ Andere lezers; Gewenst / Goed idee?
;-)
1) Mag er / is het het overwegen waard om bij artikel-links waaronder een pdf download verstopt zit (want vanwege security bekijken we pdf's natuurlijk / toch niet direct in de browser zelf?) voortaan een kleine toevoeging achter de link als "(.pdf)" ? (..)
Als je zelf beschermende maatregelen neemt voor normale webpagina's, waarom zou je voor links naar PDFs dan met een andere maat meten? Dit is bijvoorbeeld helemaal niet zo moeilijk om te regelen:
- configureer de browser om de ingebouwde PDF-viewer niet te gebruiken;
- configureer hem om je altijd te vragen of je de pdf wilt bewaren of openen met de externe applicatie;
- gebruik als externe applicatie niet Adobe Reader maar een licht alternatief dat geen JavaScript in PDFs ondersteunt.
En wat het vergeten van kijken naar de link voor je erop klikt betreft: leer jezelf aan om dat altijd te doen. Je vergeet ook niet links en rechts te kijken voor je de weg oversteekt, en daar beschermt niemand je tegen je eigen blunders. Toch slagen de meeste mensen erin hun leven lang nooit aangereden te worden. Het is mogelijk om van dit soort dingen een routine te maken, zodat je het domweg altijd doet zonder er nog bij na te hoeven denken.
;-)
Andersom,
- ik heb de in-browser weergave juist uit staan, daarom krijg ik een download poging voor mijn kiezen (als ik wel op de link klik maar gewoonweg niet zie dat het een pfd is, komt regelmatig voor. Altijd 100% concentratie, wie heeft het? Vandaar dat social engineering ook zo'n krachtig instrument is!).
Daarnaast,
heb ik er weliswaar maatregelen tegen genomen maar vind het evengoed een beetje storend en vroeg mij af of anderen dat in stilte misschien ook wel vinden maar ook niet melden.
Een kleine attentie kan je ook opvatten als 'service' aan de lezende lezer van de redactie, of zelfs een beetje als een netiquette variant.
Mogelijke gebruikersmaatregelen,
en daarmee ook weer terug naar Malware onderwerp (+ bijvoorbeeld infectie via ongewilde downloads!)
1) Laat je browser altijd vragen naar de specifieke bestandslocatie waar het file moet worden opgeslagen., *
2) Timmer je standaard opgegeven/toegewezen download folder dicht met alleen lezen permissie, werkt 'altijd'' je krijgt dan (in Firefox tenminste) een foutmelding in beeld, 'kanniedownloadnie!'.
Wil je toch downloaden zal je even een andere downloadfolder moeten toewijzen in de voorkeuren of makkelijker; open even die tweede (derde, vierde, vijfde, zesde) browser die je hebt en paste daar de download link in met standaard een andere opgegeven download folder.
* Het venster voorkomt overigens niet dat de download niet al is gestart, het file is al zichtbaar op de opslag locatie maar heeft alleen nog niet de definitieve naam en extensie van je systeem toebedeeld gekregen (of dat voor alle Os-en geldt? Check het zelf).
Driveby download test: test het bijvoorbeeld met een klein drive by download file op/met de site ; http://www.amtso.org/feature-settings-check-drive-by-download.html
Voor deze 'test' wel sommige addons deactiveren of de site toestemming aanpassen ;-) : iframes toestaan, het laden van 3rd party images connecties toestaan. Dan wordt het file 'automatisch' gedownload.
Tevens een test voor je antivirusscanneer of het het Eicar Testfile wel herkent. Als dat niet het geval is, zet dan enige vraagtekens bij de kwaliteit van je antivirusscanner.)
;-)
Andersom,
- ik heb de in-browser weergave juist uit staan, daarom krijg ik een download poging voor mijn kiezen (als ik wel op de link klik maar gewoonweg niet zie dat het een pfd is, komt regelmatig voor. Altijd 100% concentratie, wie heeft het? Vandaar dat social engineering ook zo'n krachtig instrument is!).
Weet je, er wordt wel spastisch gedaan over PDF's, maar het is eigenlijk vrij eenvoudig op te lossen door actieve inhoud van het bestand te blokkeren. Geen hond die dat sowieso gebruikt.
;-)
Andersom,
- ik heb de in-browser weergave juist uit staan, daarom krijg ik een download poging voor mijn kiezen (als ik wel op de link klik maar gewoonweg niet zie dat het een pfd is, komt regelmatig voor. Altijd 100% concentratie, wie heeft het? Vandaar dat social engineering ook zo'n krachtig instrument is!).
Weet je, er wordt wel spastisch gedaan over PDF's, maar het is eigenlijk vrij eenvoudig op te lossen door actieve inhoud van het bestand te blokkeren. Geen hond die dat sowieso gebruikt.
Ik zie het verschil tussen een blog met advertentie en een pdf niet direct.
Ook op het forum is de moderatie op links uitstekend, niets meer aan doen redactie! ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
