A weboldalakat sem kímélik a zsaroló programok

A webszervereket egyre több zsaroló program veszélyezteti. A csalókat nyílt forráskódú alkalmazások is segítik a céljaik elérésében.
 
hirdetés
2016 elején tűnt fel a GitHubon egy Ransomware nevű projekt, amely egy indonéz hackerhez, illetve a Bug7sec csoporthoz köthető. Ez a PHP-alapú alkalmazás, illetve annak forráskódja az elmúlt időszakban több probléma forrásául szolgált, így a biztonsági szakértők jobbnak látták felhívni a figyelmet a veszélyekre.

A szóban forgó projekt alatt lévő forráskódok eddig három jelentősebb zsaroló program kialakításában jutottak szerephez. Az elsőt még 2016 októberében leplezte le a Fortinet biztonsági csoportja. A JapanLocker névre keresztelt alkalmazást aztán idén nyáron a Lalabitch ransomware család követte. A múlt hónapba pedig megjelent az EV Ransomware, amely az elődjeihez hasonlóan PHP-s alkalmazásokat, illetve PHP-alapú kódok futtatására alkalmas szervereket vett célba. 


Forrás: Twitter

A fenti zsaroló programok közös jellemzője, hogy olyan módon kompromittálják a weboldalakat, hogy azok eredeti tartalma helyett egy zsaroló üzenet jelenik meg. Ez egyrészt aggodalommal és rossz érzésekkel töltheti el a weboldalak látogatóit, másrészt az üzemeltetőknek és a webhelyek tulajdonosainak komoly fejtörést okoz. Ilyenkor az üzenetekben - a ransomware-ektől megszokott módon - megjelenik a váltságdíj összege, amelynek kifizetése után lehet - jó esetben - hozzájutni a dekódoló kulcsokhoz. Azonban, ha valaki fizet a támadóknak, és esetleg még meg is kapja a dekódoláshoz szükséges kulcsot, akkor roppant bosszús lesz, amikor megtudja, hogy mindezzel semmire sem megy. Az említett ransomware programokban ugyanis egy olyan hiba található, amelynek következtében érvényes dekódoló kulcs megadása esetén sem lehet helyreállítani az állományokat. (Az eddigi vizsgálatok szerint a dekódolást végző PHP-kód nem kevés szakértelemmel módosítható úgy, hogy a titkosítás feloldására legyen lehetőség.)
 
Némileg kevesebb kockázat

A PHP-s zsarolóvírusok esetében szerencsére van néhány olyan kockázatcsökkentő tényező is, amik a veszélyeket némileg mérsékelik. Ilyen például, hogy e szerzemények szerverre történő feljuttatása és az azokon történő futtatása nem megy olyan könnyen, mintha például e-mailben kellene rávenni egy felhasználót egy fertőzött melléklet megnyitására. E zsarolóprogramokkal történő fertőzéshez általában szükség van kihasználható biztonsági résekre. Ezért van az, hogy az ilyen típusú károkozók legtöbbször széles körben használatos, nem megfelelően frissített tartalomkezelő rendszereket (például WordPress, Drupal stb.) vesznek célba. 

További kockázatcsökkentő tényező, hogy a webszerverekről azért nagyobb arányban készülnek biztonsági mentések, mint például az otthoni számítógépekről. Így szükség esetén gyorsan helyreállíthatóvá válhatnak a kompromittált állományok. Persze ehhez szükség van arra, hogy a szerverek üzemeltetői valóban gondot fordítsanak a rendszeres biztonsági mentésekre. 

A tartalomkezelő és webes alkalmazások frissítése terén sajnos már nem ennyire jó a helyzet, pedig roppant fontos lenne e rendszerek naprakészen tartása is. 
Vélemények
 
  1. 3

    Az Apache HTTPD egy adatlopásra lehetőséget adó sebezhetőséget tartalmaz.

  2. 4

    Az Apache Tomcat két hibajavítással gyarapodott.

  3. 4

    A Samba három sebezhetőség miatt kapott újabb frissítést.

 
Partnerhírek
​Hogyan lehetsz tudtodon kívül kriptobányász?

A kiberbűnözők évek óta kihasználják a kriptovaluta bányászatban rejlő lehetőségeket, hogy profitra tegyenek szert.

Hallhatatlan hangban érkezhet utasítás az asszisztensekhez

Egy kínai egyetemi kutatócsapat szerint az okostelefonokba beépített digitális asszisztenseket a hallható tartomány feletti frekvenciájú hangutasítással is lehet irányítani.

hirdetés
Közösség
1