Aanvallers zijn erin geslaagd een website van EC-Council te hacken, een bedrijf dat cursussen over ethisch hacken geeft, en gebruiken die voor de verspreiding van ransomware. Dat meldt beveiligingsbedrijf Fox-IT. Op het trainingsportaal van het bedrijf is code geplaatst die bezoekers ongemerkt naar een pagina met de Angler-exploitkit doorstuurt. Dit doorsturen gebeurt alleen in bepaalde gevallen.
Zo moet de bezoeker Internet Explorer gebruiken, van een zoekmachine zoals Google of Bing afkomstig zijn en mag het ip-adres niet op een blacklist voorkomen. Als eraan de voorwaarden is voldaan wordt stilletjes de Angler-exploitkit geladen. Deze exploitkit maakt gebruik van bekende kwetsbaarheden in Adobe Flash Player en Microsoft Silverlight. Als bezoekers deze software niet hebben gepatcht kunnen ze met de Teslacrypt-ransomware besmet raken. Deze ransomware versleutelt allerlei bestanden voor losgeld.
De aanvallers hebben de kwaadaardige code direct in de php-code van de website weten te plaatsen. Volgens Fox-IT is dit waarschijnlijk gedaan via een kwetsbaarheid in de website van EC-Council. De website maakt gebruik van WordPress. Het beveiligingsbedrijf waarschuwt dat de infectie nog steeds aanwezig is. Pogingen om EC-Council te waarschuwen leverden niets op. "Er werd weinig interesse getoond toen we ze informeerden", zegt onderzoeker Yonathan Klijnsma.
Deze posting is gelocked. Reageren is niet meer mogelijk.