titulo

titulo

Quer comprar um presente? Você pode ganhar um ransomware grátis! O site de um fabricante de brinquedos está servindo ransomware que criptografa os arquivos do visitante. O pesquisador sênior da MalwareBytes, Jérôme Segura, recentemente descobriu arquivos maliciosos hospedados diretamente no página web do Maisto, um fabricante americano de brinquedos que é conhecido mundialmente por seus brinquedos de automóveis, aeronaves e motocicletas.

Após descobrir os arquivos, Segura usou uma ferramenta desenvolvida pela empresa de segurança Securi para determinar que o Maisto está rodando um servidor Microsoft Internet Information Services (IIS) e exibindo uma versão desatualizada do Joomla Content Management System, que é vulnerável a ataques automatizados de hackers. O pesquisador viu esse tipo de ataque recentemente: o CryptXXX.

O pesquisador afirma: “Códigos maliciosos foram injetados diretamente na página e possuem o mesmo padrão da campanha do pseudo-darkleech, também descoberto pela Sucuri. Brad Duncan, da Palo Alto Networks, escreveu um ótimo artigo chamado “Campaign Evolution: Darkleech to Peseudo-Darkleech and Beyond”, o qual descreve como o ataque que uma vez apenas afetava servidores Apache também afetam o Microsoft IIS”.

Possuindo esse conhecimento, Segura e seus companheiros pesquisadores executaram novamente o ataque da Maisto da segurança de seus laboratórios. Eles descobriram que os arquivos maliciosos hospedados na página do fabricante de brinquedos estava usando o Angler Exploit Kit, que por sua vez executava o malware Bedep. O Bedep, por sua vez, possui a habilidade de baixar um software malicioso secundário: Neste caso em particular, o ransomware CryptXXX. Este é um ransomware que adiciona a extensão .CRYPT a cada arquivo infectado, exibe uma mensagem de extorsão e pede o pagamento de resgate de 500 dólares. O ransomware também pode roubar Bitcoins e outras informações.

Felizmente, a Kaspersky Lab desenvolveu recentemente uma ferramenta que permite as vítimas do CryptXXX recuperarem os arquivos criptografados. Segura notificou a Maisto, e ele aguarda um posicionamento da empresa, informa o site tripwire.com.

fonte:

http://www.tripwire.com/state-of-security/latest-security-news/toy-maker-unwittingly-infecting-website-visitors-with-ransomware/
http://www.scmagazine.com/cryptxxx-ransomware-being-served-by-toy-company-site/article/493220/
http://www.tripwire.com/state-of-security/latest-security-news/decryption-tool-released-for-cryptxxx-ransomware/
http://www.tripwire.com/state-of-security/wp-content/uploads/security-43-768×526.png