Krüptovara levib uuendamata Wordpress’i veebilehtede kaudu

Eesti veebiturvalisuse agentuur ESEC tegevjuht Oli
Eesti veebiturvalisuse agentuur ESEC tegevjuht Oli

Häkkerid on tänaseks automatiseerinud terve veebilehtede ülevõtmise protsessi ja ründajatel on võimalik kodulehekülgede rüüstamisega lihtsalt tulu teenida. „Ainuüksi juulis oleme Eestis taastanud rohkem kui kümne ettevõtte veebilehe,“ teatas Eesti veebiturvalisuse agentuur ESEC tegevjuht Oliver Sild.

Veebilehtede ülevõtmise protsess on häkkerite poolt tänaseks automatiseeritud. Varasemalt tuntud SoakSoak botnet on uuenenud ning skännib nüüd igapäevaselt veebilehti, mis omavad endas mõnd populaarset haavatavust. Kõige populaarsem haavatavus on endiselt legendaarne Wordpress'i lisapistiku Revslider Shell Upload.

Kui 90ndatel nakatati arvuteid viirustega enamasti läbi e-mail’ide, siis tänapäeval on põhiliseks allikaks häkitud veebilehed, mis suunavad külastajad ründaja poolt ette valmistatud veebilehele, kus pahavara ohvri arvutisse paigaldatakse. 2013. aasta andmete järgi häkiti valimatult pea 30 000 veebilehte päevas. 2016. aastaks on päevas häkitud veebilehtede arv tõusnud 37 000ni. Ainuüksi juulis oleme Eestis ESECi poolt taastanud üle kümne ettevõtte veebilehe.

Juuli alguses toimus järjekordne suuremat sorti rünnakute laine. Nüüdseks on olukord juba palju tõsisem. Krüptoviiruste tekkega on ründajatel võimalik kodulehtede rüüstamisega teenida senisest palju enam tulu, sest teoreetiliselt võimalik iga nakatunu käest küsida kuitahes palju lunaraha.

Kuidas toimub kodulehe rüüstamine?

Automaatsed skännerid otsivad veebist aegunud sisuhaldussüsteemidega kodulehti, millel pesitsevad kindlat tüüpi haavatavused. Kõige lihtsamaks saagiks on Wordpressi aegunud versioonid või paigaldatud aegunud moodulite versioonid. Veebileht nakatatakse pahavaraga ning liiklus suunatakse ümber ettevalmistatud lõksule, mis püüab mööda pääseda arvuti viirusetõrje programmidest ja otsib erinevat sorti haavatavat tarkvara nagu näiteks aegunud Flash'i versioonid ja Microsoft Office haavatavad versioonid ning ka veebilehitseja vanad versioonid. Kui tee arvutisse on leitud, siis paigaldatakse masinasse koheselt CryptXXX nimeline krüptoviirus, mis otsib üles kõik arvutiga ühendatud andmekandjad ning krüpteerib failid tugeva RSA-4096 algoritmiga.

See kõik käib peale nakatunud veebilehele sattumist mõne minutiga ning edasi ei jäägi muud üle, kui tuleb häkkerile tasuda näiteks 500 euro suurune lunaraha. Vastasel juhul on pea võimatu failidele ligi pääseda. Makse tuleb teostada bitcoinides ning kindlust, et makse sooritamisel failide avamiseks vajalik võti saadakse ei ole võimalik garanteerida. Kui nüüd tulla tagasi statistika juurde siis see on ulmeline 37 000 potentsiaalset ettevõtte ja pisiorganisatsiooni kodulehte, mis võib oma külastajaid pahavaraga nakatada.

Aga mida teha?

Veebilehte tellides tuleks arendajaga kohe töö alguses kokku leppida tarkvara ajakohane uuendamine ning hooldus, et taolised haavatavused veebilehele ei tekiks. Palju aitab ka lihtne .htaccess põhine tulemüür, mis automaatsed rünnaku katsed tuvastab ning seejärel pahatahtliku külastaja tee veebileheni katkestab. Kodulehe turvalisusesse investeerimine on suuremat sorti kokkuhoid ettenägematutest rünnakutest, mis võib päästa nii Teie ettevõtte maine, veebilehe töövõime, kui ka Teie enda ja klientide failid kasutuskõlbmatuks muutvast krüptoviirusest.

Osale arutelus

  • Oliver Sild

Toetajad

Seotud lood

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

ERPLY otsib SÜSTEEMIADMINISTRAATORIT

Majandustarkvara OÜ

01. november 2017

Tallink is looking for a SENIOR DEVELOPER

Tallink Grupp AS

31. oktoober 2017

Arvamused

Teabevara