25. juuli 2016
Jaga lugu:

Krüptovara levib uuendamata Wordpress’i veebilehtede kaudu

Foto: ESEC

Häkkerid on tänaseks automatiseerinud terve veebilehtede ülevõtmise protsessi ja ründajatel on võimalik kodulehekülgede rüüstamisega lihtsalt tulu teenida. „Ainuüksi juulis oleme Eestis taastanud rohkem kui kümne ettevõtte veebilehe,“ teatas Eesti veebiturvalisuse agentuur ESEC tegevjuht Oliver Sild.

Veebilehtede ülevõtmise protsess on häkkerite poolt tänaseks automatiseeritud. Varasemalt tuntud SoakSoak botnet on uuenenud ning skännib nüüd igapäevaselt veebilehti, mis omavad endas mõnd populaarset haavatavust. Kõige populaarsem haavatavus on endiselt legendaarne Wordpress'i lisapistiku Revslider Shell Upload.

Kui 90ndatel nakatati arvuteid viirustega enamasti läbi e-mail’ide, siis tänapäeval on põhiliseks allikaks häkitud veebilehed, mis suunavad külastajad ründaja poolt ette valmistatud veebilehele, kus pahavara ohvri arvutisse paigaldatakse. 2013. aasta andmete järgi häkiti valimatult pea 30 000 veebilehte päevas. 2016. aastaks on päevas häkitud veebilehtede arv tõusnud 37 000ni. Ainuüksi juulis oleme Eestis ESECi poolt taastanud üle kümne ettevõtte veebilehe.

Juuli alguses toimus järjekordne suuremat sorti rünnakute laine. Nüüdseks on olukord juba palju tõsisem. Krüptoviiruste tekkega on ründajatel võimalik kodulehtede rüüstamisega teenida senisest palju enam tulu, sest teoreetiliselt võimalik iga nakatunu käest küsida kuitahes palju lunaraha.

Kuidas toimub kodulehe rüüstamine?

Automaatsed skännerid otsivad veebist aegunud sisuhaldussüsteemidega kodulehti, millel pesitsevad kindlat tüüpi haavatavused. Kõige lihtsamaks saagiks on Wordpressi aegunud versioonid või paigaldatud aegunud moodulite versioonid. Veebileht nakatatakse pahavaraga ning liiklus suunatakse ümber ettevalmistatud lõksule, mis püüab mööda pääseda arvuti viirusetõrje programmidest ja otsib erinevat sorti haavatavat tarkvara nagu näiteks aegunud Flash'i versioonid ja Microsoft Office haavatavad versioonid ning ka veebilehitseja vanad versioonid. Kui tee arvutisse on leitud, siis paigaldatakse masinasse koheselt CryptXXX nimeline krüptoviirus, mis otsib üles kõik arvutiga ühendatud andmekandjad ning krüpteerib failid tugeva RSA-4096 algoritmiga.

See kõik käib peale nakatunud veebilehele sattumist mõne minutiga ning edasi ei jäägi muud üle, kui tuleb häkkerile tasuda näiteks 500 euro suurune lunaraha. Vastasel juhul on pea võimatu failidele ligi pääseda. Makse tuleb teostada bitcoinides ning kindlust, et makse sooritamisel failide avamiseks vajalik võti saadakse ei ole võimalik garanteerida. Kui nüüd tulla tagasi statistika juurde siis see on ulmeline 37 000 potentsiaalset ettevõtte ja pisiorganisatsiooni kodulehte, mis võib oma külastajaid pahavaraga nakatada.

Aga mida teha?

Veebilehte tellides tuleks arendajaga kohe töö alguses kokku leppida tarkvara ajakohane uuendamine ning hooldus, et taolised haavatavused veebilehele ei tekiks. Palju aitab ka lihtne .htaccess põhine tulemüür, mis automaatsed rünnaku katsed tuvastab ning seejärel pahatahtliku külastaja tee veebileheni katkestab. Kodulehe turvalisusesse investeerimine on suuremat sorti kokkuhoid ettenägematutest rünnakutest, mis võib päästa nii Teie ettevõtte maine, veebilehe töövõime, kui ka Teie enda ja klientide failid kasutuskõlbmatuks muutvast krüptoviirusest.

Autor: Oliver Sild

Jaga lugu:
ITUUDISED UUDISKIRJAGA LIITUMINE

Telli olulisemad Ituudised uudised igal nädalal enda postkasti.

Ituudised.ee toetajad:

Enimloetud
Aali Lilleorg
Aali LilleorgtoimetajaTel: 505 3172aali@ituudised.ee
Ana Madismäe
Ana Madismäereklaamimüügi projektijuhtTel: 545 60 150Ana.Madismae@aripaev.ee

Sellel veebilehel kasutatakse küpsiseid. Veebilehe kasutamist jätkates nõustute küpsiste kasutamisega. Loe lähemalt