image

Gehackte advertentieservers verspreiden ransomware

vrijdag 4 november 2016, 11:31 door Redactie, 10 reacties

Onderzoekers hebben meer dan 180 websites ontdekt waarvan de advertentieservers zijn gehackt en worden gebruikt om ransomware te verspreiden. De aanvallen zijn onderdeel van een campagne die in september zou zijn uitgeschakeld, maar nog altijd actief blijkt, zo meldt anti-virusbedrijf Trend Micro.

Internetcriminelen weten de Revive- en OpenX-advertentieservers te hacken die websites gebruiken voor het tonen van advertenties aan hun bezoekers. Vervolgens worden via de gehackte advertentiesservers besmette advertenties verspreid. Bij de nu waargenomen aangevallen proberen deze advertenties de Locky-ransomware op de computers van bezoekers te installeren.

De aanvallen werken alleen als internetgebruikers hun Internet Explorer en Adobe Flash Player langere tijd niet hebben bijgewerkt. Zo maken de advertenties gebruik van een beveiligingslek in Internet Explorer dat Microsoft in mei van dit jaar patchte. Daarnaast worden er twee Flash Player-lekken aangevallen waarvoor sinds juli 2015 en mei 2016 updates beschikbaar zijn. In het geval de aanval succesvol is zal de Locky-ransomware allerlei bestanden op het systeem voor losgeld versleutelen. Internetgebruikers krijgen dan ook het advies om hun software up-to-date te houden en back-ups te maken.

Reacties (10)
04-11-2016, 11:37 door Anoniem
Adblock.
04-11-2016, 15:11 door Anoniem
Door Anoniem: Adblock.
uBlock Origin > Adblock.
04-11-2016, 16:03 door karma4
En hoe zijn die Revviv en OpenX advertentieservers dan gehackt? (Apache PHP Linux Mysql)
04-11-2016, 16:32 door Anoniem
Ik mis nog het advies om adblockers / noscript tools te installeren #laatste paragraaf?
04-11-2016, 21:38 door Anoniem
uBlock + Pryvacy Badger misschien leren de sites het dan eens dat veel reclame irritant is en ze hun kip met de eieren beter moeten beschermen.
04-11-2016, 21:38 door Anoniem
Door karma4: En hoe zijn die Revviv en OpenX advertentieservers dan gehackt? (Apache PHP Linux Mysql)
Het is welbekend dat OpenX een grote gatenkaas is, zoals veel PHP programma's.
05-11-2016, 12:11 door karma4
Door Anoniem:
Door karma4: En hoe zijn die Revviv en OpenX advertentieservers dan gehackt? (Apache PHP Linux Mysql)
Het is welbekend dat OpenX een grote gatenkaas is, zoals veel PHP programma's.
Ok als het welbekend is, waarom wordt er dan mee door gegaan?
Te weinig commentaar en klachten er op of is het wat anders.
05-11-2016, 13:40 door ph-cofi - Bijgewerkt: 05-11-2016, 14:01
Ik vind het wrang dat LAMP-gebaseerde servers kwetsbaarheden in de softwarecomponenten vertonen en gebruikt worden om primair Windows desktops te voorzien van ransomware. Ik denk dat het als nadeel van FOSS kan worden gezien, dat een serie communities en leveranciers te zorgen hebben voor een stabiel en onkwetsbaar geheel.

Eigenlijk zou een fundamenteel onderzoek op zijn plaats zijn: Welke componenten van backbone tot beeldscherm worden hoe vaak aangevallen (ongeacht platform), en waar zit het laaghangende fruit om geld in te stoppen voor FOSS, c.q. welke commerclele fabrikant is te vermijden als men de component niet onder controle krijgt. Misschien leuk om een benchmarksite te maken en producten te vergelijken op IB aspecten. En te gebruiken om te bepalen waarin te investeren (door overheden bijvoorbeeld).

We hebben hierbij m.i. ook met een menselijke trek te maken: iedereen vindt werkende en veilige software HEEL belangrijk, maar financieel bijdragen aan een FOSS project of licenties verlengen van commercieel product... ehhh [weglopende geluiden]. DAT is de reden dat "we ermee doorgaan", volgens mij. Dat is ook een kans voor commerciele bedrijven: kom met een propositie die uit onderzoek gebleken betere prestaties levert. Aangezien aan FOSS het label "gratis" hangt, zal een commercieel product flink op "service" en "secure" moeten communiceren. Ik vraag me trouwens af of marketingbedrijven geld zouden overhebben voor producten die aantoonbaar de klanten van hun klanten niet met ransomware opzadelen. Marketingcowboys en respect voor IT, hmmm.... Nog een reden waarom het doorgaat?

Tenslotte, het grote probleem met online advertenties is dat niemand in de keten precies weet wat er op onze PC schermen wordt geknald. Wij eindklanten hebben hoe dan ook bescherming op de desktop nodig in deze markt. Omdat veel aandacht is uitgegaan naar beschermen van de desktops, is er misschien weinig aanleiding besteed om het aan de serverkant onder controle te krijgen.

EDIT: ik lees in het artikel van Trend Micro dat de advertentiebedrijven WEL hun updates moeten draaien. En dat de malware in de weekends verdwijnt en door de weeks weer wordt teruggezet (wtf)? Hebben die advertentieservers soms geen beheerders?
05-11-2016, 22:14 door karma4
Eens ph_cofi...
07-11-2016, 23:13 door Anoniem
Door karma4:
Door Anoniem:
Door karma4: En hoe zijn die Revviv en OpenX advertentieservers dan gehackt? (Apache PHP Linux Mysql)
Het is welbekend dat OpenX een grote gatenkaas is, zoals veel PHP programma's.
Ok als het welbekend is, waarom wordt er dan mee door gegaan?
Omdat er geld mee verdiend wordt door mensen die zelf geen risico lopen.
(immers ze worden niet aangesproken als het fout gaat)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.