Inficerede servere spreder ransomware

Artiklen blev oprindeligt publiceret den 26/8/2015

Mindst 2.600 WordPress-websteder er inficeret med skadelige programmer, der spreder ransomware.

Webstederne bruger ældre, sårbare versioner af WordPress: Version 4.2 eller lavere. Angriberne udnytter sandsynligvis kendte sårbarheder i dem til at få adgang.

Ifølge sikkerhedsfirmaet Zscaler er over 4.200 websider inficeret. Infektionen består af en indsat iframe-kommando, der henter data fra en anden server på nettet. Dataene sender den besøgende browser videre til en server, der kører exploit kittet Neutrino.

Neutrino forsøger at inficere browseren ved at udnytte kendte sårbarheder i Flash Player. Lykkes det, bliver pc’en inficeret med Cryptowall 3.0. Det er et program, der krypterer brugerens filer og kræver løsepenge for at dekryptere dem.

Ifølge SANS Internet Storm Center kommer angrebet fra en gruppe, der tidligere anvendte exploit kittet Angler EK.

Anbefaling
Opdater WordPress til nyeste version.

Links

• Neutrino Campaign Leveraging WordPress, Flash for CryptoWall, blogindlæg fra Zscaler
• Actor using Angler exploit kit switched to Neutrino, blogindlæg fra SANS Internet Storm Center