Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

Rządowa strona URPL zaraża odwiedzających szyfrując im dyski

Przemysław Banasiak | 21-02-2017 17:45 |

Rządowa strona URLP zaraża odwiedzających szyfrując im dyskiJedna z polskich stron rządowych przynajmniej od czterech dni zaraża odwiedzających, infekując ich złośliwym oprogramowaniem typu ransomware o nazwie Cerber. Jeśli czytelnikowi Urzędu Rejestracji Produktów Leczniczych skutecznie zostanie wstrzyknięty podłożony kod to jego dysk twardy zostaje całkowicie zaszyfrowany. Niestety - administratorzy strony oraz organy państwowe, które zostały poinformowane o potencjalnym zagrożeniu nie podjęły jeszcze działań. Witryna nadal jest dostępna online i zaraża kolejne osoby. Atak jest jednak spersonalizowany i nie każdy odwiedzający musi czuć się zagrożony, chyba, że związany jest ze służbą zdrowia lub korzysta z przestarzałego oprogramowania.

Winowajcą jest prawdopodobnie przestarzały system zarządzania treścią, dokładniej Drupal w wersji 7.41 z października 2015 roku.

Jak donosi Zaufana Trzecia Strona poinformowani oni zostali o sytuacji już 17 lutego przez jednego ze swoich czytelników, lecz gdy przyjrzeli się sprawie bliżej była ona już teoretycznie nieaktualna. Szybko jednak okazało się, że zagrożenie jest mocno wybiórcze - zarówno jeśli chodzi o dobór ofiary, jak i aktywność złośliwego oprogramowania. W skrócie na stronie www.urpl.gov.pl znajduję się nieautoryzowany kod, który wybiera czy i komu wstrzyknąć dodatkową ramkę do przeglądarki. Celuje w użytkowników Internet Explorer w wersji 8, 9 i 10 - czyli najpopularniejsze rozwiązania w państwowych placówkach z przestarzałym sprzętem i niewykwalifikowaną pod względem technologicznym kadrą. Co prawda wstrzykiwana treść ciągle się zmienia, to jednak przeważnie prowadzi do zestawu exploitów o nazwie RIG. Kod kieruje do kolejnej podstrony z tego samego serwera, następnie do pliku JavaScript, który to zaś serwuje ofierze plik SWF mający zarazić ofiarę ostatecznym, złośliwym oprogramowaniem. Pobrane dane to przeważnie niezidentyfikowane jeszcze pliki DLL lub groźny, acz znany ransomware o nazwie Cerber, który szyfruje dyski swoich ofiar.

Polacy zostali zapytani o postać Edwarda Snowdena

Rządowa strona URLP zaraża odwiedzających szyfrując im dyski [1]

Nowe ransomware odszyfruje twoje pliki jeśli zarazisz innych

Skąd na rządowej stronie znalazł się złośliwy, niezidentyfikowany kod? Winowajcą jest prawdopodobnie przestarzały system zarządzania treścią, dokładniej Drupal w wersji 7.41 z października 2015 roku. To wydanie, ze względu na swój wiek posiada całe zatrzęsienie publicznie znanych luk, które wykorzystać musiał atakujący. ZTS poinformowała już Biuro Informatyki, rzecznika urzędu oraz CERT i zgodnie z odpowiedzią "przeprowadzany jest audyt bezpieczeństwa". Problem jest taki, że w momencie pisania tekstu - o godzinie 16 - strona URPL nadal jest online i zaraża odwiedzających. Co więcej - Urząd Rejestracji Produktów Leczniczych zachęca na swoim Facebooku do wchodzenia na nią! Panie prezydencie, jak żyć? Osobiście wątpię, by któryś z naszych czytelników korzystał z tak archaicznych i mało wydajnych przeglądarek, a więc tym samym jesteście bezpieczni. Warto jednak dać znać znajomym pracownikom placówek służby zdrowia.

Źródło: Zaufana Trzecia Strona
Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Liczba komentarzy: 25

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.