Rządowa strona URPL zaraża odwiedzających szyfrując im dyski
Jedna z polskich stron rządowych przynajmniej od czterech dni zaraża odwiedzających, infekując ich złośliwym oprogramowaniem typu ransomware o nazwie Cerber. Jeśli czytelnikowi Urzędu Rejestracji Produktów Leczniczych skutecznie zostanie wstrzyknięty podłożony kod to jego dysk twardy zostaje całkowicie zaszyfrowany. Niestety - administratorzy strony oraz organy państwowe, które zostały poinformowane o potencjalnym zagrożeniu nie podjęły jeszcze działań. Witryna nadal jest dostępna online i zaraża kolejne osoby. Atak jest jednak spersonalizowany i nie każdy odwiedzający musi czuć się zagrożony, chyba, że związany jest ze służbą zdrowia lub korzysta z przestarzałego oprogramowania.
Winowajcą jest prawdopodobnie przestarzały system zarządzania treścią, dokładniej Drupal w wersji 7.41 z października 2015 roku.
Jak donosi Zaufana Trzecia Strona poinformowani oni zostali o sytuacji już 17 lutego przez jednego ze swoich czytelników, lecz gdy przyjrzeli się sprawie bliżej była ona już teoretycznie nieaktualna. Szybko jednak okazało się, że zagrożenie jest mocno wybiórcze - zarówno jeśli chodzi o dobór ofiary, jak i aktywność złośliwego oprogramowania. W skrócie na stronie www.urpl.gov.pl znajduję się nieautoryzowany kod, który wybiera czy i komu wstrzyknąć dodatkową ramkę do przeglądarki. Celuje w użytkowników Internet Explorer w wersji 8, 9 i 10 - czyli najpopularniejsze rozwiązania w państwowych placówkach z przestarzałym sprzętem i niewykwalifikowaną pod względem technologicznym kadrą. Co prawda wstrzykiwana treść ciągle się zmienia, to jednak przeważnie prowadzi do zestawu exploitów o nazwie RIG. Kod kieruje do kolejnej podstrony z tego samego serwera, następnie do pliku JavaScript, który to zaś serwuje ofierze plik SWF mający zarazić ofiarę ostatecznym, złośliwym oprogramowaniem. Pobrane dane to przeważnie niezidentyfikowane jeszcze pliki DLL lub groźny, acz znany ransomware o nazwie Cerber, który szyfruje dyski swoich ofiar.
Polacy zostali zapytani o postać Edwarda Snowdena
![Rządowa strona URLP zaraża odwiedzających szyfrując im dyski [1]](https://www.purepc.pl/image/news/2017/02/21_rzadowa_strona_urlp_zaraza_odwiedzajacych_szyfrujac_im_dyski_0_b.jpg)
Nowe ransomware odszyfruje twoje pliki jeśli zarazisz innych
Skąd na rządowej stronie znalazł się złośliwy, niezidentyfikowany kod? Winowajcą jest prawdopodobnie przestarzały system zarządzania treścią, dokładniej Drupal w wersji 7.41 z października 2015 roku. To wydanie, ze względu na swój wiek posiada całe zatrzęsienie publicznie znanych luk, które wykorzystać musiał atakujący. ZTS poinformowała już Biuro Informatyki, rzecznika urzędu oraz CERT i zgodnie z odpowiedzią "przeprowadzany jest audyt bezpieczeństwa". Problem jest taki, że w momencie pisania tekstu - o godzinie 16 - strona URPL nadal jest online i zaraża odwiedzających. Co więcej - Urząd Rejestracji Produktów Leczniczych zachęca na swoim Facebooku do wchodzenia na nią! Panie prezydencie, jak żyć? Osobiście wątpię, by któryś z naszych czytelników korzystał z tak archaicznych i mało wydajnych przeglądarek, a więc tym samym jesteście bezpieczni. Warto jednak dać znać znajomym pracownikom placówek służby zdrowia.
Powiązane publikacje
Meta kontra FTC. Kevin Systrom ujawnia, że Mark Zuckerberg postrzegał Instagram jako zagrożenie dla Facebooka
23
OpenAI rozważa zakup przeglądarki Chrome od Google, co oznacza potencjalną rewolucję w dostępie do sztucznej inteligencji
22
Użytkownicy skarżą się, że ChatGPT zbyt często ich chwali. Czy sztuczna inteligencja przestała mówić prawdę?
44
Facebook traci znaczenie wśród młodszych pokoleń. Wewnętrzne e-maile Meta pokazują rosnące problemy z atrakcyjnością platformy
57
