Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties

Beveiligingsonderzoeker Kafeine van het blog 'Malware don't need Coffee' stelt vast dat infecties door de Angler-exploitkit een week geleden voor het laatst hebben plaatsgevonden. De Neutrino-kit heeft daarentegen aan populariteit gewonnen.

Angler exploitkitZo schrijft Kafeine dat bijvoorbeeld de SadClowns-groep nu gebruikmaakt van Neutrino in plaats van Angler. Ook andere onderzoekers zien een migratie van grote Angler-gebruikers naar die exploitkit, zo meldt Softpedia. Naast Neutrino zijn ook RIG en Sundown alternatieven voor die gebruikers. De Neutrino-kit infecteert slachtoffers vooral met ransomware, voornamelijk de TeslaCrypt-vervanger CryptXXX of Cerber.

Kafeine geeft aan dat er eerder periodes waren waarin de activiteit van exploitkits omlaag ging, bijvoorbeeld als de groepen erachter op vakantie gaan of als er sprake is van een verhuizing van infrastructuur. Het lijkt er echter op dat dit nu niet gebeurt en dat er een andere reden achter de gestaakte activiteit zit. De onderzoeker geeft aan dat er een mogelijk verband is met de recente arrestatie van vijftig hackers in Rusland.

Als gevolg van het verdwijnen van Angler heeft Neutrino zijn prijzen verhoogd, zo is de prijs per week verdubbeld naar 1500 dollar, omgerekend 1330 euro. Hetzelfde gedrag was te zien na de arrestatie van de auteur van de BlackHole-exploitkit in 2013.

Exploitkits maken gebruik van kwetsbaarheden om slachtoffers te infecteren, bijvoorbeeld in software als Flash en Silverlight. Tegenwoordig is de payload bij dergelijk infecties in het overgrote deel van de gevallen ransomware. De laatste ontwikkeling rond Angler werd vorige week door beveiligingsbedrijf FireEye opgemerkt, toen het vaststelde dat die in staat was om de Windows-beveiliging EMET te omzeilen op systemen met Windows 7. Angler wordt gezien als de grootste en meest geavanceerde exploitkit.

Moderatie-faq Wijzig weergave

Reacties (20)

Als je een beetje ( wekelijks) https://ransomwaretracker.abuse.ch/tracker/ bijhoudt en deze opvoert in je firewall lijst dan kan je een groot deel voorkomen en ben je niet afhankelijk van een virusscanner.
Voor elke dag zal je waarschijnlijk een scriptje moeten maken en deze elke dag weer importeren in je firewall(s).

[Reactie gewijzigd door Treadstone op 13 juni 2016 14:33]

Mooie site! Wist niet dat deze bestond.

Wat mij wel opvalt is dat er veel accounts bij GODADDY.COM zijn aangemaakt en ook veel sites te vinden zijn in Polen, Bulgarije en Rusland. Zou een geoblock niet makkelijker zijn. Ik ken niemand die op Russische, Bulgaars of Poolse sites aan het browsen is.

Ben nu alleen even benieuwd hoe ik een script kan automatiseren van deze site.. :+

[Reactie gewijzigd door Black Piet op 13 juni 2016 18:34]

Je zou elke dag een wget script kunnen laten draaien om bijvoorbeeld : https://ransomwaretracker.abuse.ch/downloads/TC_C2_URLBL.txt binnen te halen.

De blocklists zijn statisch, dus je kan ze als import op je systeem binnenhalen. Daarna zal je ze afhankelijk van je systeem moeten opnemen in je firewall.
https://ransomwaretracker.abuse.ch/blocklist/
Hoe zou je dat aanpakken?
Die lijst die je noemt is een lijst van remote files, bijvoorbeeld
.... dan die parsen en de TLD toevoegen aan je lokale DNS-server (en 127.0.0.1 terug laten geven op dat domein)?

En de blocklists met IP-adressen aan iptables voeren?
Hierbij wat docjes en trucs om dit voor elkaar te krijgen op Windows.

http://serverfault.com/qu...-all-ips-from-a-text-file
http://cyber-defense.sans...-addresses-network-ranges
in word bestanden kun je ervoor kiezen automatisch uitvoeren macro's uit te schakelen(gpo) en applocker te gebruiken zodat /tmp /download mappen niets mogen uitvoeren.
Zo ver ik weet zijn macro's standaard al uitgeschakeld sinds Office 2007.
correct, helaas kom ik nog steeds bedrijven tegen die leunen op 2003 :o
Daarbovenop; het automatisch inschakelen van macro's levert per-bestand meer geneuzel op om een bestand vooraf degelijk pogen door te lichten dan de hoeveelheid handelingen om ze per-bestand alsnog in te schakelen.
Als je natuurlijk veel gebruik maakt van macro's is het vervelend deze uit te schakelen.
Waarom hebben antivirus bedrijven geen abonnementje lopen bij dit soort praktijken?

Het lijkt me dat je dan alles toch een heel stuk sneller kan beveiligen?
Wie zegt dat dit niet gebeurt?
Inderdaad. Al zal men dat zeker niet aan de grote klok hangen.
Makers van dit soort malware weten heus wel dat dat gebeurt.

/edit : taalfout

[Reactie gewijzigd door Ome Ernst op 13 juni 2016 13:43]

Heb me ook al jaren afgevraagt of ze zelf ook geen malware maken. ;)
Ik weet het niet, want daarvoor weet ik te weinig van deze materie, maar ik sluit het zeker niet uit. Enig obstakel zou juridisch kunnen zijn, mocht je daar in dit geval om
geven als malware bestrijders.

Als ik voor de rest kijk naar hoe het bijvoorbeeld bij tanks ging en gaat dan is er op
elke uitvinding die er op komt, een tegen uitvinding die dat probeert te elimineren. Ik sluit niet uit dat dat bij malware ook zo zou kunnen zijn.
Hier is het antwoord van Mikko Hyppönen op preciess die vraag:
https://www.youtube.com/watch?v=tUotmeaZayE (timer: 55:15 t/m 57:30)

Voor de goede orde: ik vraag je niet om hem te geloven op zijn woord (als je serieus denkt dat antivirus-bedrijven dit zouden doen, dan ga je hem ook niet vertrouwen natuurlijk), maar om eens na te denken over zijn redenatie.
Het is nagenoeg onmogelijk om te bewijzen dat iemand iets niet gedaan heeft, maar als er geen schijntje verdenking is, slechts een zeer wankele reden waarom ze het zouden willen doen en een gigantisch goede reden om het niet te doen (het is een beetje als Russisch Roulette spelen met het voortbestaan van je bedrijf), dan ga ik er voorlopig even vanuit dat het niet gebeurt.
Het Neutrino exploidkit is volgens Symantec verantwoordelijk voor onder andere de toenemende distributie van locky ransomware. Deze worden veelal verspreid in oude MsOffice extenties als .doc, .xls etc. Hier hebben we er voor gekozen om deze extensies te filteren richting de spambox, en de ITérs de bestanden door te laten zetten. Ook worden dan tegelijk de gebruikers opgevoed er een .docx van te maken.
Linkje in het artikel naar de webshop van Neutrino zou informatief / handig zijn :)
edit:

Ik begrijp dat er niet naar gelink mag worden, maar bij de meeste artikelen staan wel genoeg links en verwijzingen om de bronnen te controleren, dat kan nu niet. Ik zie dat de bedragen zijn overgenomen uit het originele bericht maar daar is ook geen bron te vinden.

[Reactie gewijzigd door Boss op 13 juni 2016 14:43]

Linken naar het darknet is niet toegestaan op tweakers zover ik weet.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True