Sterke stijging van zip-bijlagen met ransomware
De afgelopen dagen is er een sterke stijging geweest van het e-mails die via besmette zip-bijlagen de Locky-ransomware proberen te verspreiden. De e-mails hebben onder andere als onderwerp "invoice notice", "attached image" en "attached document themes".
Volgens het bericht heeft de ontvanger bijvoorbeeld een bestelling geplaatst of een rekening niet betaald. Meer informatie zou in het meegestuurde zip-bestand zijn te vinden. Dit zip-bestand bevat weer een JavaScript-bestand dat de Locky-ransomware op de computer downloadt. De e-mails worden wereldwijd verspreid, waaronder ook in Nederland. Locky is een vrij nieuwe ransomware-variant, die net als andere ransomware bestanden voor losgeld versleutelt.
In het begin gebruikte de Locky-ransomware nog kwaadaardige macro's in Excel- en Word-bestanden om systemen te infecteren, maar is nu op JavaScript-bestanden overgestapt. Een mogelijke reden hiervoor is dat het eenvoudig is om het script te obfusceren en nieuwe varianten uit te rollen, en zo traditionele op signatures-gebaseerde virusscanners te omzeilen, aldus beveiligingsbedrijf FireEye. Uit cijfers van VirusTotal blijkt dat de ransomware slecht door anti-virussoftware wordt herkend. Recentelijk werd een Amerikaans ziekenhuis nog door de Locky-ransomware getroffen, waarop het ziekenhuisbestuur intern de noodtoestand afkondigde.
Ik verwacht niet dat er ergens een meldpunt voor burgers voor dit soort issues is.
Het wordt:
- of als telemetry gegevens terugsgestuurd door malware detectie programma's.
Dat is in tegenspraak van het omzeilen van virusscanners.
- In de https://en.wikipedia.org/wiki/List_of_mail_server_software als telemetry gegeven vastgesteld (inhoud-attachmen onderwerp) en als telemetry gegeven doorgestuurd. Als onderdeel van spam-fight of security. Dan had het ook meteen verwijderd(?) kunnen worden.
Wie wil malware doorgestuurd hebben. Ook bij poststukken zijn er beperkingen dieren mogen niet al zou het passen. https://www.postnl.nl/Images/Algemene-voorwaarden-universele-postdienst_tcm10-9614.pdf
Ik heb zelf ook twee van die emails ontvangen.
In eerste instantie lijkt het op emails waarmee ze naar logingegevens zitten te vissen.
(vandaar ook gemeld aan valse emails)
Alle twee berichten hadden naar dropbox accounts.
Wat mij vooral opviel was dat de emails allebei zogenaamd van KPN afkwamen omdat het XS4ALL email account waren.
En o ja, op die dagen dat ik die emails ontving herkende verschillende professionele, betaalde virusscanners de uiteindelijke rommel niet. Allemaal pas min. 24 uur later.
Excuses voor m'n warrige reactie, maar ben net wakker en was lange nacht.
De zip bevat twee files met JavaScript en een file met de naam 'bootmgr'. Gatekeeper op de mac laat het wel toe om de .js files te bekijken, maar laat niet toe dat de file 'bootmgr' met een simpele teksteditor geopend wordt.
Nu zie ik niet zo snel hoe dit je moet besmetten omdat weinig mensen software hebben liggen om JavaScript vanuit een file te runnen. Misschien dat 'bootmgr' dat moet doen, maar die wordt door Gatekeeper tegengehouden. Waarschijnlijk hebben ze dan nog die mensen nodig die de firewall aangepast hebben om executables uit alle bronnen te mogen runnen.
Helemaal nieuw is het niet, in 2015 begin het al. Maar momenteel wordt het massaal gebruikt. En het is gemakkelijk te misbruiken door eind gebruikers.
Maar tegenhouden is ook gemakkelijk gewoon *.js blockeren in de temp directory (en subdirectories) en het is tegen gehouden.
Of eventueel cscript / wscript blockeren om js files te openen in temp directories.
Anyway, ik merk het zelf ook.
Niet alleen krijg ik op mijn gebruikelijk spam-catchers zo'n 120 van deze mailtjes per dag per mailbox binnen, ze kosten me ook een hoop data van mijn servers, en daar ben ik minder blij mee.
CENTOS doet niet zoveel met java meuk namelijk.
Maar bij tmobile niet eens een abuse@t-mobile.tld adres te vinden.
Gelukkig maar dat de mails altijd binnenkomen op adressen die ik toch niet voor deze providers gebruik en het dus erg snel opvalt.
Anyway, ik merk het zelf ook.
Niet alleen krijg ik op mijn gebruikelijk spam-catchers zo'n 120 van deze mailtjes per dag per mailbox binnen, ze kosten me ook een hoop data van mijn servers, en daar ben ik minder blij mee.
CENTOS doet niet zoveel met java meuk namelijk.
Vent je weet niet waar je het over hebt, hele web draait JavaScript.
Gewoon netjes je 'CENTOS' configureren dat deze zip/js files reject.
..
CENTOS doet niet zoveel met java meuk namelijk.
Spam catchers en Ad-blocker prima en mij best. Het is een snijvlak, daarmee zit je op de grens van de inhoud van berichten, Het is automatisch maar toch. Zet je het in de context van een cloudservice zit met een grote provider dan is het ineens zeer slecht dat het gebeurt. Nu doe je het zelf en dan klaag je alleen dat het je zoveel data kost.
Dat is niet consistent.
Gelukkig maar dat de mails altijd binnenkomen op adressen die ik toch niet voor deze providers gebruik en het dus erg snel opvalt.
Vent je weet niet waar je het over hebt, hele web draait JavaScript.
Vent je weet niet waar je het over hebt, hele web draait JavaScript.
Enig idee wat AJAX is? En hoeveel sites ervan gebruik maken? Facebook, Twitter, ... ??
Huh? Ben je echt zo dom of doe je alsof??
Enig idee wat AJAX is? En hoeveel sites ervan gebruik maken? Facebook, Twitter, ... ??
Wanneer je de browser zo instelt, dat er geen scripts op je PC gestart kunnen worden, dan valt hooguit 1% door de mand.
Alle andere websites blijven gewoon bereikbaar, test het maar.........
Facebook heeft b.v. de optie noscript=1 en zo zijn er velen.
Lees ook eens de webrichtlijnen-Versie-2 en dan met name het stuk over exta's als Java e.d.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!