Explicação técnica
Este Ransomware explora a vulnerabilidade dos sistemas-vítima para se dispersar globalmente. Outra das formas de atuação é a infiltração nos sistemas operativos das vítimas via email ou falsos downloads. A forma de propagação mais conhecida desta infecção é conhecida como RIG. Esta usa malvertising como fonte primária para infetar a vítima e, ao mesmo tempo, usa as vulnerabilidades relacionadas com o Flash, Microsoft Silverlights e Java, todos eles relacionados com o browser.
As landing pages desta forma de infeção têm estruturas URL semelhantes, strings alfanuméricas, uma barra vertical e uma variável seguida por uma string alfanumérica. Eis um exemplo do referido:
sweetdimension.net/wp- content/themes/Jungle/proxy.phpreq=xml&num=5795&PHPSSESID=njrMNruDMh7GA5zBJPPcTKVDKU7WGFn YmMzMhe6JVg|Mzg4ZDllMzc5N2NiZWRkNDBmYWZhZDNhMzE5YTc5Yzk
As possíveis vítimas são afetadas por uma string “reg” query com o formato:
- req=jar|req=xml (for java based exploit)
- req=xap (for silverlight based exploit)
- req=swf (for flash based exploit)
Após uma exploração de uma vulnerabilidade, o payload para o Cryptowall é descarregado e cifra os ficheiros das vítimas.




Como a Cyberoam defende as redes deste tipo de ataque
As redes protegidas com appliances Cyberoam deverão ter as subscrições IPS e Antivírus ativas. Os laboratórios de pesquisa de ameaças lançaram os upgrades 3.11.69 e 5.11.69 do seu sistema de prevenção de intrusões para detetar as ligações usadas pelo Cryptowall, impedindo as mesmas de aceder ao perímetro seguro. Estes upgrades oferecem, ainda, uma melhoria significativa na performance de deteção e uma baixa taxa de falsos positivos.

Acompanhe o Blog da Cyberoam e saiba as todas as novidades sobre as últimas questões de segurança:
Via RollingSpace
Comentários recentes