Hacker gruppen vanligtvis använder skadliga annonser för att distribuera trojan malware.
Bild: iStock
En omfattande skadliga annonser kampanjen var förmodligen bakom en ransomware attack som drabbade STORBRITANNIEN universitet och andra, och det kan infekterar användare som helt enkelt har besökt en webbplats äventyras med skadlig kod.
University College London och Ulster University båda tog system offline efter att ha fallit offer för ransomware, som nu har identifierats av trygghet forskare som Mullvad ransomware, en form av fil-kryptering programvara som först dök upp i April. Det är namnet som sådant eftersom det förlängningar av infekterade filer som har ändrats .MOLE – och en del av CryptoMix ransomware familj.
It-säkerhet forskare vid Proofpoint avslöjat ransomware, som de har länkat till AdGholas skadliga annonser grupp. Kampanjen använder vanligen skadlig reklam för att sprida banktrojaner snarare än ransomware, som är en mycket nosier attack än en smygande data-och stulit verktyg.
Medan universiteten var det mest uppmärksammade målet på den ransomware, skadliga annonser var en del av en mycket bredare attack som är riktad länder runt om i världen via en nedsatt vara värd för en webbplats.
En av anledningarna till att den ransomware kunde infiltrera nätverk var på grund av att användare inte behöver även klicka på skadliga reklam – bara besöka den infekterade webbplats var nog för dem att bli smittad, tack för att angriparna distribuera Astrum utnyttja kit för att utnyttja en gammal Flash utnyttja.
“Det är inte nödvändigt att klicka på annonsen för att vara smittad. Det är nog helt enkelt för att visa annonsen: om maskinen är sårbara och utsatta, då infektionen sker utan någon interaktion med användaren,” sa ‘Kafeine”, forskare som upptäckte ransomware-släppa-kampanj.
Mellan den 14 och 15 juni, en AdGholas infektion kedja var med Astrum att släppa ransomware mot mål i STORBRITANNIEN och kanske OSS.
De som smittats med Mullvad presenteras med en gisslan anteckning krävande 0.5 Bitcoins (för närvarande $1,364) i utbyte för att dekryptera filer.
Mullvad ransomware lösen not.
Bild: Proofpoint
Men i fallet med UCL och Ulster, varken betalat lösen och efter några inledande driftstopp, båda kunde få system igång igen tack vare säkerhetskopior tagit dagen innan infektionen.
“Om den skadliga koden i detta fall inte hade varit ransomware, vilket naturligtvis är mycket mer synliga för användarna än banktrojaner dessa hot aktörer som normalt distribuera, offren kanske aldrig har känt att de var infekterade”, sade Kevin Epstein, vd för Hot Operations Center vid Proofpoint.
“It-fortsätta att utveckla ransomware, och de ledande universiteten som UCL, vars system innehåller mycket värdefull data, är tydligt mål”.
ZDNet kontaktade universitet för att bekräfta om de specifikt blev smittad med Mullvad ransomware , men hade inte fått något svar, vid tidpunkten för publicering.
LÄS MER PÅ RANSOMWARE
Ransomware: Dessa fyra branscher är mest attackedAfter WannaCry, ransomware kommer att bli värre innan det blir betterTop 5: Saker att veta om ransomware [TechRepublic]Ransomware: En verkställande guide till en av de största hot på webEuropol, Intel och Kaspersky laget upp för att slå ner på ransomware [MAG]