Locky ransomware è tornato ancora una volta, questa volta di essere diffusa da un nuovo kit di exploit, basato sul Sundown precedentemente conosciuto. Il nuovo kit exploit è doppiato Bizarro Sundown e stato notato ottobre 5 e poi ancora ottobre 19, come riportato da ricercatori TrendMicro.
Apparentemente, il più alto numero di utenti infettati da questa campagna è attualmente trova a Taiwan e in Corea. La EK è un po 'come il suo predecessore, ma con alcuni miglioramenti, come caratteristiche anti-analisi aggiunti. Di più, l'attacco osservato ottobre 19 modificato l'URL ufficiale di imitare pubblicità su Web legittimi. I ricercatori dicono che entrambe le versioni sono stati utilizzati nella campagna Shadowgate / WordsJS.
Maggiori informazioni sulla campagna Shadowgate
In primo luogo identificato nel 2015, la campagna Shadowgate mirata Revive e server pubblicitari open-source di OpenX che sono stati installati in locale. Una volta compromesso, i server agiscono come gateway per il kit di exploit per la distribuzione di malware. Mentre la campagna è stato riferito, chiuso nel settembre di quest'anno, abbiamo scoperto che è ancora vivo e vegeto, utilizzando 181 siti per fornire ransomware compromessa.
TrendMicro osservato Shadowgate nel mese di settembre la distribuzione del Neutrino exploit kit di far cadere una variante di Locky (l'estensione .zepto). Ottobre 5, la campagna passato a Bizarro Sundown. Due settimane dopo, a ottobre 19, è stata rilevata una versione modificata di Bizarro Sundown.
Uno sguardo gli ultimi attacchi cadere Locky ransomware
C'è una particolare cosa interessante di questi attacchi ed è che il numero di macchine infette scende a zero durante il fine settimana.
I ricercatori hanno osservato la campagna Shadowgate "chiudendo le redirezioni e rimuovere lo script di reindirizzamento dannoso dal server compromesso durante i fine settimana e riprendere le loro attività dannose nei giorni feriali."
Le vittime delle campagne sono gli utenti a Taiwan e Corea del Sud, ma anche in Germania, Italia, e la Cina.
Quali vulnerabilità utilizzano la leva finanziaria negli attacchi?
Le vulnerabilità dispiegati negli scenari di attacco di successo sono CVE-2.016-0.189, CVE-2015-5119, e CVE-2016-4117:
La prima versione di Bizarro Sundown mira una vulnerabilità di corruzione della memoria in Internet Explorer (CVE-2016-0189, fisso maggio 2016) e due falle di sicurezza in Flash: una vulnerabilità use-after-free (CVE-2015-5119) e un bug di lettura out-of-bound (CVE-2016-4117). Il primo di questi è stato fissato più di un anno fa (Luglio 2015), con la seconda patch all'inizio di quest'anno (Maggio 2016).
seconda versione di Bizarro Sundown utilizzato solo i due exploit Flash.
Per evitare infezioni da malware, assicurarsi che il sistema è protetto in ogni momento!
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: