CryptXXX, Cryptobit в новой киберкампании

Тема в разделе "Новости", создана пользователем Marka, 13 июл 2016.

  1. Гость, давай поддержим форум вместе, делись информацией с друзями через кнопки в блоке "Поделиться в социальных сетях"

    Скрыть объявление
  1. Marka

    Marka Местный

    
    Регистр:
    11 дек 2015
    Сообщения:
    63
    Лайки:
    17
    Дизлайки:
    0
    Баллы:
    30
    Пол:
    Мужской
    Исследователи предупреждают о новой масштабной кампании по распространению различного вымогательского ПО, в том числе CryptXXX и относительно нового Cryptobit. Кампания, нареченная Realstatistics, использует в качестве редиректоров тысячи сайтов, работающих на платформах Joomla и WordPress. Так, на прошлой неделе эксперты Sucuri наблюдали массовые инъекции поддельного кода для веб-аналитики, в том числе URL realstatistics[.]info, в PHP-шаблоны скомпрометированных сайтов. В своей блог-записи Дэниел Сид (Daniel Cid), технический директор и основатель Sucuri, отметил, что все эти редиректоры привязаны к эксплойт-площадкам Neutrino. В случае успешной эксплуатации уязвимости на машину жертв загружается CryptXXX.

    Sucuri мониторит текущую киберкампанию уже более двух недель и обнаружила как минимум 2 тыс. задействованных в ней сайтов. Их реальное число, по словам Сида, может оказаться в пять раз больше, так как Sucuri имеет возможность наблюдать лишь те сайты, которые используют ее сканер заражений.

    Пока неясно, как злоумышленникам удается атаковать сразу две CMS-системы для внедрения вредоносного кода. Согласно отпечаткам, снятым Sucuri, 60% сайтов-редиректоров используют устаревшие версии Joomla или WordPress, еще 30% тоже удалось привязать к известным CMS-системам. Скорее всего, хакеры используют какие-либо общие для всех платформ уязвимости, полагают эксперты.

    В минувший четверг исследователь Брэд Дункан (Brad Duncan) опубликовал запись на сайте Palo Alto Networks, в которой отметил, что тот же шлюзовый домен Realstatistics недавно использовал эксплойт-пак RIG, доставляющий другого вымогателя — Cryptobit. Этот блокер, как и многие его собратья, призывает жертву связаться с его хозяевами для расшифровки, но не указывает при этом ни размер выкупа, ни валюту. Первые образцы Cryptobit были обнаружены в апреле, на тот момент вымогатель шифровал файлы ключами AES и RSA.

    По свидетельству Дункана, Cryptobit агрессивно раздавался дней десять, за это время исследователь обнаружил восемь разных вариантов этого блокера. В конце июня авторы этой кампании сменили целевую нагрузку. В комментарии Threatpost Дункан уточнил, что позднее они зафиксировали, в частности, банкера Gootkit, распространяемого через эксплойт-пак Neutrino в рамках той же кампании, а до Cryptobit злоумышленники раздавали вымогателя Cerber.
    [​IMG]