Krüptovara levib enim aegunud Wordpress'i lehtede kaudu

Aivar Pau
, tehnikatoimetaja
Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Oliver Sild
Oliver Sild Foto: Erakogu

Häkkerid on tänaseks automatiseerinud terve veebilehtede ülevõtmise protsessi - varasemalt tuntud SoakSoak botnet on tänaseks uuenenud ning skännib igapäevaselt veebilehti, mis omavad endas mõnd populaarset haavatavust.

Eesti veebiturvalisuse agentuuri ESEC tegevjuhi Oliver Silla sõnul on kõige populaarsem haavatavus endiselt legendaarne Wordpress'i lisapistiku Revslideri Shell Upload.

«Kui 90datel nakatati arvuteid viirustega enamasti läbi emailide, siis tänapäeval on põhiliseks allikaks häkitud veebilehed, mis suunavad külastajad ründaja poolt ette valmistatud veebilehele, kus pahavara ohvri arvutisse paigaldatakse,» ütles Sild.

Kusjuures, 2013. aasta andmete järgi häkiti valimatult pea 30.000 veebilehte päevas. 2016. aastaks on päevas häkitud veebilehtede arv tõusnud 37 000ni. «Selle kuu jooksul oleme me ainuüksi Eestis taastanud üle kümne erineva tegevusalaga ettevõtte veebilehe,» märkis Sild.

Juuli alguses avastati ka järjekordne suuremat sorti rünnakute laine, kuid nüüdseks on olukord palju tõsisem. Krüptoviiruste tekkega on ründajatel võimalik kodulehtede rüüstamisega teenida palju rohkem tulu, kui varem.

Nimelt otsivad automaatsed skännerid veebist aegunud sisuhaldussüsteemidega kodulehti, millel pesitsevad kindlat tüüpi haavatavused. Näiteks otsitakse Wordpressi aegunud versioone ning paigaldatud aegunud moodulite versioone, mis on kõige lihtsamaks saagiks.

Seejärel nakatatakse veebileht pahavaraga ning suunatakse liiklus ümber ettevalmistatud lõksule. See omakorda püüab mööda pääseda arvuti viirusetõrje programmidest ja otsib erinevat sorti haavatavat tarkvara - nagu näiteks aegunud Flash'i versioonid ja Microsoft Office haavatavad versioonid, kui ka vanad veebilehitseja versioonid.

«Kui tee arvutisse on leitud paigaldatakse masinasse koheselt CryptXXX nimeline krüptoviirus, mis seejärel otsib ülesse kõik arvutiga ühendatud andmekandjad ning krüpteerib failid tugeva RSA-4096 algoritmiga,» kirjeldas Oliver Sild pahavara tegevust.

See kõik käib peale nakatunud veebilehele sattumist mõne minutiga ning edasi ei jäägi muud üle, kui tuleb häkkerile tasuda 500€ suurust lunaraha. Vastasel juhul on pea võimatu failidele ligi pääseda.

«Kui nüüd tulla tagasi statistika juurde, siis see on ulmeline 37 000 potentsiaalset ettevõtte ja pisiorganisatsiooni kodulehte, mis võib oma külastajaid pahavaraga nakatada,» kirjeldas Sild.

Aga mida teha? «Veebilehte tellides tuleks arendajaga kohe töö alguses kokku leppida tarkvara ajakohane uuendamine ning hooldus, et taolised haavatavused veebilehele ei tekiks. Palju aitab ka lihtne .htaccess põhine tulemüür, mis automaatsed rünnaku katsed tuvastab ning seejärel pahatahtliku külastaja tee veebileheni katkestab,» selgitas Sild.

ESEC on aastal 2013 loodud Eesti iduettevõte, kelle tegevusalaks on veebiturvalisus ja –arendus ja mis liitus Tehnopol Startup Inkubaatori programmiga 2016. aasta alguses.

Loo autor: Oliver Sild, Eesti veebiturvalisuse agentuur ESEC tegevjuht.

Kommentaarid
Copy
Tagasi üles