GandCrab ransomware eksploatiše ranjivosti sajtova

Meta su sajtovi sa slabom zaštitom, odnosno sajtovi koji imaju zastareli i neažurirani softver.

GandCrab ransomware eksploatiše ranjivosti sajtova

GandCrab širi malver preko legitimnih sajtova sa slabom zaštitom. GandCrab je u početku izvodio jednostavne i brze napade, a vremenom je evoluirao kako bi bio efikasniji. U prva dva meseca ove godine, ovaj ransomware je zarazio više od 50.000 računara i svojim autorima doneo više od 600.000 dolara. Pretnja se širi preko spam kampanja i Exploit Kit kao što su Rig i Grandsoft.

Istraživači Cisco Talosa su analizirajući nedavnu spam kampanju pronašli brojne kompromitovane sajtove koji isporučuju GandCrab. Takođe, otkrili su i 4 odvojene kampanje koje su ukupno trajale 7 dana.

Prva kampanja započela je 30. aprila i bila je maskirana u online porudžbinu. U atačmentu poruke se nalazio zip fajl sa Word dokumentom koji preuzima i izvršava ransomware. Email je sadržao ili VBScript ili zip fajlove, a u oba slučaja krajnji rezultat je bio isti. U ovoj kampanji interesantni su alati koji su korišćeni za download GandCraba. Postoji nekoliko načina da se ovo uradi pomoću macroa, ali su napadači izabrali da koriste certutil.exe koji je deo servisa za sertifikate. To pokazuje da hakeri stalno traže nove i efektivne načine za download malvera na računare žrtava.

Druga kampanja je imala sličan sadržaj poruke kao i prva (naslov, tekst i atačmenti), ali je payload bio hostovan na drugačijoj lokaciji. U pitanju je bio legitiman sajt koji sadrži phpMyAdmin i ima više MySQL ranjivosti, a pritom koristi default kredencijale. Nedugo zatim, taj sajt je oboren.

Treća kampanja je isporučivala GandCrab sa neažuriranog WordPress sajta prepunog ranjivosti. Četvrta je koristila isti sajt, ali je naglasak bio na drugačijem trendu. Ponekad se napadači vrate na isti sajt, čak i kad je on oboren. Takav obrazac pokazuje da se napadači ne trude da kreiraju jedinstvene kampanje.

Distribucija ovog malvera ukazuje na još jedan problem sa kojim se suočavaju današnje kompanije – kompromitovanje sajta. Mnogo je sajtova na internetu koji koriste zastarele softvere, a većina malih kompanija ni ne sazna da je otkrivena neka nova ranjivost. Čak i kad sazna, ne postoji dovoljno stručnosti ili nema dovoljno vremena da se izvrši ažuriranje softvera.

U današnje vreme, prilično je jednostavno napraviti sajt ukoliko koristite platforme kao što su WordPress, Joomla, Drupal i sl. Problem je u tome što mnogi koji prave i hostuju sajtove za mala preduzeća nisu svesni da je softver potrebno redovno ažurirati, a često nemaju ni dovoljno znanja ili vremena za tako nešto. Svaka od gore pomenutih platformi nudi mogućnost upravljanja sa udaljene lokacije. Prosečni zaposleni nije svestan da je zbog toga potrebno koristiti jake kredencijale, a u idealnom slučaju i ograničiti admin stranice na tačno određene IP adrese. Izložene admin stranice sa slabim kredencijalima su laka meta za sofisticirane protivnike.

Napadači će sasvim sigurno nastaviti da eksploatišu kompromitovane sajtove, jer time štede vreme i novac koji su potrebni za registraciju domena, kupovinu VPS-a i konfiguraciju servera. Na ovaj način, takođe, preuzimaju i reputaciju kompromitovanog sajta što im pomaže da izbegnu tzv. sisteme sa crnim listama.

Kako se zaštititi od ovog i sličnih malvera?

Izvor: Dark Reading