Locky ransomware is terug opnieuw, dit keer wordt verspreid door een nieuwe exploit kit, op basis van de eerder bekende Sundown. De nieuwe exploit kit is nagesynchroniseerd Bizarro Sundown en werd voor het eerst opgemerkt op oktober 5 en dan weer in oktober 19, zoals gerapporteerd door onderzoekers van TrendMicro.
Blijkbaar, het hoogste aantal gebruikers dat door deze campagne is geïnfecteerd, is momenteel te vinden in Taiwan en Korea. De EK lijkt veel op zijn voorganger, maar met enkele verbeteringen, zoals toegevoegde anti-analysefuncties. Meer, de aanval waargenomen in oktober 19 heeft zijn URL formeel gewijzigd om legitieme webadvertenties te imiteren. Onderzoekers zeggen dat beide versies werden gebruikt in de ShadowGate/WordsJS-campagne.
Meer over de ShadowGate-campagne
voor het eerst geïdentificeerd in 2015, de ShadowGate-campagne was gericht op de open-source advertentieservers van Revive en OpenX die lokaal zijn geïnstalleerd. eenmaal gecompromitteerd, de servers fungeren als gateways naar de exploitkit voor malwaredistributie. Hoewel de campagne naar verluidt in september van dit jaar werd stopgezet, we ontdekten dat het nog steeds springlevend is, gebruik 181 gecompromitteerde sites om ransomware te leveren.
TrendMicro observeerde ShadowGate in september bij het inzetten van de Neutrino-exploitkit om een variant van Locky te droppen (de .zepto extensie). Op oktober 5, de campagne is overgeschakeld naar Bizarro Sundown. Twee weken later, in oktober 19, er is een aangepaste versie van Bizarro Sundown gedetecteerd.
Een kijkje in de laatste aanvallen waarbij Locky ransomware wordt gedropt
Er is een bijzonder interessant aspect aan deze aanvallen en het is dat het aantal geïnfecteerde machines in het weekend tot nul daalt.
Onderzoekers observeerden de ShadowGate-campagne “het sluiten van hun omleidingen en het verwijderen van het kwaadaardige omleidingsscript van de gecompromitteerde server tijdens het weekend en het hervatten van hun kwaadaardige activiteiten op werkdagen."
Slachtoffers van de campagnes zijn gebruikers in Taiwan en Zuid-Korea, maar ook in Duitsland, Italië, en China.
Welke kwetsbaarheden worden gebruikt bij de aanvallen??
De kwetsbaarheden die zijn ingezet in de succesvolle aanvalsscenario's zijn CVE-2016-0189, CVE-2015-5119, en CVE-2016-4117:
De eerste versie van Bizarro Sundown was gericht op een kwetsbaarheid voor geheugenbeschadiging in Internet Explorer (CVE-2016-0189, opgelost in mei 2016) en twee beveiligingsfouten in Flash: een use-after-free kwetsbaarheid (CVE-2015-5119) en een out-of-bound leesbug (CVE-2016-4117). De eerste hiervan is meer dan een jaar geleden gerepareerd (Juli 2015), met de tweede eerder dit jaar gepatcht (Mei 2016).
De tweede versie van Bizarro Sundown gebruikte alleen de twee Flash-exploits.
Om malware-infecties te voorkomen, zorg ervoor dat uw systeem te allen tijde wordt beschermd!
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: