Il sito web che distribuisce ransomware oltre a certificazioni di sicurezza

Ransomware Teslacrypt distribuit dal sito EC Council che fornisce certificazioni CEHE’ da lunedì 21 marzo che il SOC (Security Operations Center) di Fox-IT ha segnalato privatamente all’EC Council che il loro sito iclass.eccouncil.org (dove offrono tra l’altro la certificazione “Certified Ethical Hacker”) infettava tramite un redirect i visitatori con il ransomware Teslacrypt tramite l’Anger Exploit Kit. La risorsa contenente l’Angler Exploit Kit sfrutta falle nei browser che supportano plugin Flash Player o Silverlight per avviare il downloader “Bedep” che scarica sul PC della vittima il vero e proprio ransomware che poi infetta il sistema, cripta i documenti e chiede il riscatto in bitcoin.

FoxIt fa notare che, come precauzione, gli autori dell’exploit hanno programmato il redirect che causa il download del criptovirus e l’infezione del PC in modo che il redirect malevolo si attiva soltanto se si verificano tre condizioni:

  1. La vittima deve avere Internet Explorer (o comunque presentarsi come tale tramite user agent)
  2. Il visitatore deve arrivare sul sito tramite un motore di ricerca come Google o Bing (quindi digitando direttamente l’URL il malware non si attiva)
  3. L’indirizzo IP del malcapitato non deve essere tra quelli nella blacklist del trojan (come potrebbero esser ad esempio gli IP di Forze dell’Ordine, FBI, etc…) e deve far parte di un’area geografica tra quelle “proficue” per i pagamenti del riscatto in bitcoin

L’exploit consiste in uno script in PHP che fa le opportune verifiche e attiva il redirect. Il codice probabilmente è stato inserito sul sito dell’EC-COUNCIL utilizzando una vulnerabilità del CMS WordPress, sul quale è basata la piattaforma di certificazione CEH e che spesso viene utilizzato dagli hacker per bucare siti web.

Per questo motivo si raccomanda di aggiornare sempre il browser e i plugin installati, in particolare Flash, Silverlight e Java che sono spesso utilizzati dai criminali per attivare meccanismi di drive-by download di malware sui sistemi dei visitatori di particolari siti web. Allo stesso modo, si raccomanda a chi gestisce siti tramite piattaforma CMS WordPress di tenere aggiornato il CMS WordPress e i relativi plugin, eventualmente utilizzando plugin di sicurezza come:

Suggeriamo anche di registrare il sito su Google Search Console (ex Google Webmaster Tools) e su Bing Webmaster Tools, che avvisano in tempo reale il proprietario in caso d’infezione. Il tutto ovviamente corredato da un buon backup, magari integrando quello offerto dall’hosting con plugin gratuiti per WordPress come BackWPup, che salvano in automatico il backup sul cloud, su FTP, o lo inviano tramite posta elettronica, così da metterlo al sicuro in caso di hacking o infezione da malware.

I tecnici Fox It segnalano come, una volta visitato il sito web EC-COUNCIL, sul PC della vittima viene scaricato il “dropper” consistente, per questa campagna d’infezioni, nel ransomware TeslaCrypt. Se avviato, il virus TeslaCrypt comincia a criptare i documenti del computer e richiede il pagamento di un riscatto in bitcoin, configurando quindi i reati di estorsione, danneggiamento informatico e accesso abusivo ma lasciando lo spazio in alcuni casi per reati di riciclaggio e favoreggiamento.

Messaggio con richiesta di riscatto di TeslaCrypt 3.0

Per chi si chiede come recuperare i dati criptati da TeslaCrypt, al momento non è ancora disponibile (almeno per le versioni TeslaCrypt 3.0 e 4.0) un decryptor gratuito e sconsigliamo di pagare il riscatto in quanto si alimenta un mercato di criminalità organizzata a livello internazionale.

Il sito Charlatan che parla dell'EC Council che distribuisce ransomware TeslacryptChiudiamo ricordando come l’EC Council non sia nuovo a episodi di hacking del loro sito web: esattamente 2 anni fa avevano subito un defacement da parte dell’hacker con nick pseudonimo “Eugene Belford” che aveva lasciato il messaggio di scherno “Owned by certified unethical software security professional” aggiungendo, nelle pagine defacciate, i documenti che provavano che Edward Snowden aveva seguito i corsi di CEH in India.

Tempo dopo, sulla homepage della webpage dell’EC Council è comparso un nuovo messaggio di defacement, che si complimenta con il Council per l’aver riutilizzato la stessa password:

“Defaced again? Yep, good job reusing your passwords morons jack67834# owned by certified unethical software security professional Obligatory link: http[://]attrition[.]org/errata/charlatan/ec-council/ -Eugene Belford P.S It seems like lots of you are missing the point here, I’m sitting on thousands of passports belonging to LE (and .mil) officials”

Al sito linkato nel messaggio di defacement [WBM], decisamente polemico nei confronti dell’ECC EC-Council, sono elencate una serie di “sventure” dell’organizzazione che distribuisce la certificazione CEH, compresa quella relativa all’argomento di questo post, cioè alla distribuzione del ransomware TeslaCrypt tramite Angler Exploit Kit.

Indicatori di Compromissione (IOCs)

Server C&C di Bedep

89.163.240.118 / kjnoa9sdi3mrlsdnfi[.]com
85.25.41.95 / moregoodstafsforus[.]com
89.163.241.90 / jimmymorisonguitars[.]com
162.244.32.121 / bookersmartest[.]xyz

Server C&C di TeslaCrypt

50.87.127.96 / mkis[.]org
213.186.33.104 / tradinbow[.]com

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.