Locky ransomware er tilbage igen, denne gang bliver spredt af en ny udnytte kit, baseret på den tidligere kendte Sundown. Den nye udnytte Sættet er døbt Bizarro Sundown og blev første gang bemærket i oktober 5 og derefter igen den oktober 19, som rapporteret af forskere på TrendMicro.
Tilsyneladende, det højeste antal brugere, der er inficeret af denne kampagne, findes i øjeblikket i Taiwan og Korea. EK ligner meget sin forgænger, men med nogle forbedringer såsom tilføjede anti-analysefunktioner. Mere, angrebet observeret i oktober 19 ændrede sin URL formel for at efterligne legitime webannoncer. Forskere siger, at begge versioner blev brugt i ShadowGate / WordsJS-kampagnen.
Mere om ShadowGate-kampagnen
Først identificeret i 2015, ShadowGate-kampagnen målrettede mod Revive og OpenXs open source-reklameservere, der er installeret lokalt. Når kompromitteret, serverne fungerer som gateways til exploit kit til malware distribution. Mens kampagnen angiveligt blev lukket i september i år, vi fandt ud af, at det stadig lever og har det godt, ved brug af 181 kompromitterede websteder for at levere ransomware.
TrendMicro observerede ShadowGate i september ved at implementere Neutrino -udnyttelsessættet for at droppe en variant af Locky (.zepto -udvidelsen). Oktober 5, kampagnen skiftede til Bizarro Sundown. To uger senere, i oktober 19, der blev fundet en modificeret version af Bizarro Sundown.
Et kig ind i de seneste angreb, der dropper Locky ransomware
Der er en særlig interessant ting ved disse angreb, og det er, at antallet af inficerede maskiner falder til nul i weekenderne.
Forskere observerede ShadowGate -kampagnen “lukke deres omdirigeringer og fjerne det ondsindede omdirigeringsskript fra den kompromitterede server i weekenden og genoptage deres ondsindede aktiviteter på hverdage."
Ofre for kampagnerne er brugere i Taiwan og Sydkorea, men også i Tyskland, Italien, og Kina.
Hvilke sårbarheder udnyttes i angrebene?
Sårbarhederne i de vellykkede angrebsscenarier er CVE-2016-0189, CVE-2015-5119, og CVE-2016-4117:
Den første version af Bizarro Sundown målrettede en sårbarhed ved korruption i hukommelsen i Internet Explorer (CVE-2016-0189, fastsat i maj 2016) og to sikkerhedsfejl i Flash: en anvendelse efter frigivelse sårbarhed (CVE-2015-5119) og en ubegrænset læsefejl (CVE-2016-4117). Den første af disse blev rettet for mere end et år siden (Juli 2015), med den anden lappet tidligere på året (Maj 2016).
Bizarro Sundowns anden version brugte kun de to Flash -bedrifter.
For at undgå malware -infektioner, Sørg for, at dit system er beskyttet hele tiden!
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter