Nuclear Exploit Kit phát tán ransomware Cryptowall 4.0

Phiên bản mới của ransomware Cryptowall đã bắt đầu xuất hiện trong bộ công cụ khai thác. SANS Internet Storm Center cho biết một tin tặc sử dụng domain thuộc quản lý của BizCN Trung Quốc đã sử dụng Cryptowall  4.0 thông qua Nuclear Exploit Kit.

Nhân viên của SANS ISC và kĩ sư bảo mật Brad Duncan của Rackspace gần đây cho biết Cryptopwall 4.0 thường xuyên được phát tán thông qua tin nhắn rác và email lừa đảo. Đây là lần đầu tiên nó được lây nhiễm thông qua bộ công cụ khai thác.

Tin tặc sử dụng tên miền BizCN đã chuyển đổi địa chỉ IP cho cổng domain của chúng, trở thành phương tiện trung gian giữa website bị xâm hại và máy chủ lưu trữ bộ công cụ khai thác Nuclear. Cổng máy chủ có thể kiểm tra hệ điều hành hoặc loại trình duyệt từ thông tin user-agent trong HTTP header gửi bởi nạn nhân tiềm năng rồi sau đó phản hồi lại. Nếu hệ điều hành không phải là Windows, máy chủ sẽ phản hồi lại với thông tin ‘404 not found’ (Cho thấy chỉ Windows mới có thể bị xâm hại) . Nếu đúng là Windows, máy chủ sẽ trả về 200 OK, rồi tạo ra lưu lượng đến máy chủ khai thác.

Ducan đã đăng tải phân tích trên website của SANS ISC bao gồm cả mẫu URL trên BizCN và một vài thông số xâm hại khác. Cryptowall 4.0 xuất hiện tầm một tháng trước với bản cập nhật nâng mức độ khó khôi phục file trên máy nạn nhân.

threatpost