Hackers gelanceerd, een mislukte cyber-aanval op zaterdag in een poging om te infecteren miljoenen Israëlische gebruikers met ransomware.
De aanval wordt verondersteld te zijn uitgevoerd door hackers die vanuit Palestina, op basis van de huidige gegevens.
Het incident vond plaats op zaterdag 2 Maart, wanneer hackers succesvol vergiftigd DNS-records voor Nagich, een web service die voorziet in de toegankelijkheid (a11y) widget dat is ingesloten op duizenden Israëlische websites om de toegang voor personen met leesproblemen.
Volgens de rapporten van de Israëlische cyber-security-experts, hackers gebruikt de Nagich widget automatisch insluiten van schadelijke code op duizenden Israëlische websites.
De code zou in de eerste plaats defacen van de site met een bericht lezen “#OpJerusalem, Jeruzalem is de hoofdstad van Palestina,” en dan zou het starten van een automatische download voor Windows-bestand met de naam “flashplayer_install.exe” een bestand besmet met ransomware.
Een groot derden toegankelijkheid script is momenteel in een actieve DNS poisoning aanval, geserveerd door @cloudflare de Israëlische eindpunt:
$ graven +korte @1.1.1.1 https://t.co/c2ZLDNM0oY
172.81.182.63Schadelijke host wordt het bedienen van een bericht ondersteunende #OpJerusalem pic.twitter.com/gdHJGwfV7n
— Yuval يوڤال Adam (@yuvadm) 2 Maart 2019
Haha Israëlische propaganda site @ynetnews is gehackt #OpJerusalem pic.twitter.com/LbVI7cgwUU
— Irfan Chowdhury (@irfan_c98) 2 Maart 2019
Echter, dingen niet gaan zoals gepland voor de hackers. Terwijl de defacement bericht getoond op duizenden webpagina ‘ s, waaronder enkele van de grootste nieuws sites in Israël, de downloaden van bestand is niet gestart.
Onderzoekers alleen gespot in de code die bedoeld was voor het activeren van het bestand te downloaden tijdens het analyseren van de defacement berichten.
Ze zei dat een codering die fout te voorkomen dat de auto-downloaden van ooit plaats. De fout was dat de kwaadaardige code zou stoppen na de defacement, en niet tot de ransomware downloaden als de OS-versie zou een string anders dan Windows.”
De fout kwam van het feit dat er geen user-agent string van “Windows” alleen, zoals browser user agent strings bevatten ook het versienummer van Windows, zoals Windows XP of Windows 10.”
Dit betekende dat de “if” statement altijd waar is, ongeacht het besturingssysteem, en de kwaadaardige code uitgevoerd met de defacement en vervolgens gestopt, het afbreken van de download op doel.
Nou, ze misschien wilde toevoegen #Ransomware vermogen, maar ze hadden een fout in de code. Alleen #defacement hier.
Grappig fout.OS = ParseOS()
als (OS != “Windows”) // alleen defacement
OS kan nooit Windows precies.— Idan Cohen (@_IdanCohen) 3 Maart 2019
Hier is de code in actie. applaus voor beginnende hackers! pic.twitter.com/YBhZMHnOGg
— Ido Naor (@IdoNaor1) 3 Maart 2019
Volgens een analyse door CyberArk, het bestand dat bedoeld was te downloaden op de systemen van gebruikers is een non-descript ransomware belasting die zou zijn versleutelde bestanden als gebruikers ooit liep.
De Nagich aanval duurde slechts een paar uur op zaterdag en de service weer toegang tot de DNS-records en gestopt met het leveren van de schadelijke code aan het einde van de dag.
Meer ransomware dekking:
Nieuwe ransomware-stam is het blokkeren van Bitcoin mining rigs in ChinaRansomware: Een executive gids naar één van de grootste bedreigingen op de webRansomware waarschuwing: Deze phishing-campagne levert nieuwe malware variantsBitdefender releases derde GandCrab ransomware gratis decrypter in het afgelopen jaar
Ransomware waarschuwing: de romantische bericht verbergen een vervelende surpriseMatrix is langzaam geëvolueerd naar een ‘Zwitsers zakmes’ van de ransomware worldRansomware aanval raakt de Haven van San Diego CNET
Ransomware: Een cheat sheet voor professionals TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters