Hacker-gruppen er normalt bruger malvertising at installere trojan, malware.
Billede: iStock
En udbredt malvertising kampagne var formentlig bag en ransomware angreb, der ramte BRITISKE universiteter og andre, og det er i stand til at inficere brugere, der blot har besøgt et websted kompromitteret med malware.
University College London og Ulster University både tog-systemer offline, når ofre for ransomware, som er blevet identificeret af sikkerhedseksperter som Muldvarp ransomware, en form for fil-kryptering software, som først dukkede op i April. Det er navngivet som sådan, fordi det udvidelser af inficerede filer er ændret til .MOL – og en del af CryptoMix ransomware familie.
Cybersecurity forskere på Proofpoint afdækket ransomware, som de har knyttet til den AdGholas malvertising gruppe. Kampagnen er normalt bruger ondsindede reklame til at sprede banking trojanske heste, snarere end ransomware, som er en meget nosier angreb end en snigende data-stjæle værktøj.
Mens de universiteter, der var de mest højt profilerede mål for ransomware, malvertising var en del af en meget bredere angreb, som er målrettet lande rundt omkring i verden via en kompromitteret vært hjemmeside.
En af årsagerne til, at ransomware var i stand til at infiltrere netværk var, fordi brugerne ikke har brug for til selv at klikke på de ondsindede reklamer – bare du besøger kompromitterede hjemmeside var nok for dem til at blive smittet, tak til angriberne implementering af Astrum exploit kit til at udnytte en gammel Flash udnytte.
“Der er ingen grund til at klikke på annoncen for at blive smittet. Det er nok blot at vise annoncen: hvis maskinen er sårbare og målrettet, så infektionen sker uden brugerindgriben,” sagde ‘Kafeine’, den forsker, der opdagede ransomware-droppe kampagnen.
Mellem 14 og 15 juni, en AdGholas infektion kæde var ved hjælp af Astrum til at droppe ransomware mod mål i ENGLAND og måske USA.
Dem, der smittes med Muldvarp er præsenteret med en løsesum bemærk krævende 0.5 Bitcoins (i øjeblikket $1,364) i bytte for at dekryptere filer.
Muldvarp ransomware løsesum note.
Billede: Proofpoint
Men i tilfælde af UCL og Ulster, hverken betalt løsepenge, og efter nogle indledende nedetid, både var i stand til at få systemerne op at køre igen tak til sikkerhedskopier taget dagen før infektion.
“Hvis ondsindet payload i dette tilfælde ikke havde været ransomware, der er naturligvis meget mere synlige for brugerne, end den bank Trojanere, når disse trussel aktører, der normalt distribuere, ofrene måske aldrig har kendt de var inficeret,” sagde Kevin Epstein, VP Trussel Operations Center på Proofpoint.
“It-kriminelle fortsætte med at udvikle ransomware, og førende universiteter som UCL, hvis systemer indeholder meget værdifulde data, er tydeligt mål”.
ZDNet kontaktet universiteterne til at bekræfte, hvis de specifikt blev smittet med Muldvarp ransomware , men ikke havde modtaget et svar på tidspunktet for offentliggørelse.
LÆS MERE OM RANSOMWARE
Ransomware: Disse fire brancher er den hyppigst attackedAfter WannaCry, ransomware vil blive værre, før det bliver betterTop 5: Ting at vide om ransomware [TechRepublic]Ransomware: executive-guide til en af de største trudsler om webEuropol, Intel og Kaspersky hold op med at slå ned på ransomware [CNET]