Zawsze cieszymy się, gdy możemy zakończyć tydzień pozytywnymi wiadomościami. Akcja organów ścigania pod nazwą „Operation Endgame” przyniosła właśnie znaczące zwycięstwo w walce z działającą od dawna organizacją SocGholish (znaną również jako FakeUpdates).
SocGholish to platforma złośliwego oprogramowania, która działa co najmniej od 2017 roku i jest znana przede wszystkim z wykorzystywania zhakowanych, legalnych witryn WordPress do wyświetlania odwiedzającym fałszywych powiadomień o aktualizacjach przeglądarek i oprogramowania. Gdy użytkownik kliknie jeden z tych przekonujących komunikatów „zaktualizuj teraz”, złośliwe oprogramowanie otwiera w systemie tylne drzwi, zapewniając atakującym wstępny dostęp, który często wykorzystują do wdrażania oprogramowania ransomware i innego złośliwego oprogramowania. Operacja ta została powiązana z rosyjską grupą cyberprzestępczą Evil Corp, wcześniej kojarzoną ze złośliwym oprogramowaniem Zeus i Dridex, a także z dużymi operacjami związanymi z oprogramowaniem ransomware i praniem brudnych pieniędzy.
W tym tygodniu holenderska policja i prokuratura, we współpracy z Królewską Kanadyjską Policją Konną, FBI, Federalnym Urzędem Kryminalnym Niemiec, Europolem i Eurojustem, przeprowadziły bezpośredni atak na infrastrukturę sieci SocGholish. W ramach operacji „Endgame” zlikwidowano 106 serwerów i domen oraz oczyszczono 14 971 zainfekowanych witryn WordPress , które w sposób niezauważalny przekierowywały odwiedzających do pułapki FakeUpdates.
Badacze twierdzą, że odkryli ujawnione dane logowania do około 1,4 miliona witryn opartych na WordPressie. Aby sprawdzić, czy hasła powiązane z Twoim adresem e-mail zostały ujawnione w wyniku naruszenia bezpieczeństwa, skorzystaj z Malwarebytes Digital Footprint Scanner.
Władze holenderskie wykorzystały również swoje uprawnienia w zakresie hakowania, aby usunąć backdoory i złośliwe oprogramowanie ze stron, które padły ofiarą ataku, a także powiadomiły właścicieli tych stron, wzywając ich do aktualizacji WordPressa, włączenia uwierzytelniania wieloskładnikowego (MFA) oraz zmiany haseł.
Władze twierdzą, że wśród zainfekowanych stron znalazły się serwisy związane z codziennym życiem, takie jak restauracje i warsztaty samochodowe, co oznacza, że użytkownicy mogli zostać narażeni na złośliwe oprogramowanie po prostu przeglądając zaufane lokalne strony internetowe.
W tym przypadku liczy się skala i cel działania. Operacja „Endgame” jest określana jako największa jak dotąd międzynarodowa akcja przeciwko oprogramowaniu ransomware i cyberprzestępczości, a likwidacja sieci SocGholish w szczególności zakłóca działanie kluczowego łańcucha infekcji wykorzystywanego przez wiele grup zajmujących się oprogramowaniem ransomware. Przerywając powiązania między tysiącami zwykłych stron internetowych a zaawansowanym ekosystemem typu „malware-as-a-service”, organy ścigania ograniczyły liczbę potencjalnych ofiar oraz zwiększyły koszty działalności Evil Corp i jej partnerów.
Zanim więc zacznie się weekend, oto historia o złośliwym oprogramowaniu, w której „dobrzy” faktycznie zdołali odeprzeć atak i sprawić przeciwnikom ból.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
