Сайт знаменитой компании по сертификации в области информационной безопасности EC Council начиная с понедельника 21го марта 2016 заражал посетителей вымогательским ПО TeslaCrypt.



Как описывает источник в своем блоге (Yonathan Klijnsma), атаке были подвержены определенные пользователи из некоторых стран, а именно:

• Посетители использовавшие в качестве браузера Microsoft Internet Explorer (или использование юзер агента Internet Explorer)
• Посетители перешедшие с поисковиков Google или Bing.
• Использовался IP блок лист и геолокация по IP.

После перенаправления со страниц сайта, жертва попадала в итоге на страницу Angler exploit kit где используется flash или silverlight компоненты для эксплуатации уязвимости. Angler exploit kit сначала запускает троян ‘Bedep’ на машине жертвы, который загружает последний пэйлоад payload.
Как описано в источнике, скорее всего сайт компании EC Council использует известный CMS Wordpress с уязвимым модулем, который и оказался дырявым и привел к заражению.
После заражения TeslaCrypt требует от жертвы 1.5 BTC или 622$ для расшифровки файлов.

Для дополнительной информации Yonathan оставил адреса серверов управления и распространения малвари, так что в корпоративных сетях можно добавить этот список в blacklist:

Bedep C&C:

• 89.163.240.118 / kjnoa9sdi3mrlsdnfi[.]com
• 85.25.41.95 / moregoodstafsforus[.]com
• 89.163.241.90 / jimmymorisonguitars[.]com
• 162.244.32.121 / bookersmartest[.]xyz

TeslaCrypt C&C:

• 50.87.127.96 / mkis[.]org
• 213.186.33.104 / tradinbow[.]com