Verschillende Britse universiteiten zijn onlangs via advertenties besmet geraakt met ransomware. De infectie zorgde zowel bij het University College London (UCL) als de Ulster University voor grote problemen waardoor persoonlijke en gedeelde schijven tijdelijk onbruikbaar waren.
Het UCL liet laatst al weten dat het vermoedde dat de infectie via een website was begonnen en dat lijkt nu door securitybedrijf Proofpoint te worden bevestigd. Een groep cybercriminelen genaamd AdGholas, die in het verleden voor grootschalige aanvallen via besmette advertenties verantwoordelijk was, zou een nieuwe campagne zijn gestart waardoor de universiteiten met de Mole-ransomware besmet raakten.
"Hoewel de universiteiten als gevolg van de infectie het nieuws haalden, lijkt het erop dat de aanval veel grootschaliger was waarbij de besmette advertenties op een aantal populaire websites verschenen", zegt beveiligingsonderzoeker Kafeine. Namen van websites worden echter niet genoemd. De advertenties stuurden gebruikers ongemerkt door naar de Astrum-exploitkit. Deze exploitkit maakt gebruik van oude beveiligingslekken in Adobe Flash Player en Microsoft Internet Explorer die al meer dan een jaar geleden werden gepatcht. Alleen het te zien krijgen van de advertenties op een ongepatcht systeem is voldoende om besmet te raken.
Dit zou inhouden dat de universiteiten al een jaar lang geen updates hebben geïnstalleerd. Kafeine merkt echter op dat de Astrum-exploitkit gebruik maakt van de Diffie-Hellman-sleuteluitwisseling, een cryptografisch algoritme waarmee internetprotocollen een versleutelde verbinding kunnen opzetten. Volgens de onderzoeker kan dit op een nieuwe exploit duiden die de aanvallers proberen te verbergen. Om dit zeker te weten is het echter nodig om het patchniveau van de besmette machines te onderzoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.