Сайт знаменитой компании по сертификации в области информационной безопасности EC Council начиная с понедельника 21го марта 2016 заражал посетителей вымогательским ПО TeslaCrypt.

image

Как описывает источник в своем блоге (Yonathan Klijnsma), атаке были подвержены определенные пользователи из некоторых стран, а именно:

  • Посетители использовавшие в качестве браузера Microsoft Internet Explorer (или использование юзер агента Internet Explorer)
  • Посетители перешедшие с поисковиков Google или Bing.
  • Использовался IP блок лист и геолокация по IP.

После перенаправления со страниц сайта, жертва попадала в итоге на страницу Angler exploit kit где используется flash или silverlight компоненты для эксплуатации уязвимости. Angler exploit kit сначала запускает троян ‘Bedep’ на машине жертвы, который загружает последний пэйлоад payload.
Как описано в источнике, скорее всего сайт компании EC Council использует известный CMS Wordpress с уязвимым модулем, который и оказался дырявым и привел к заражению.
После заражения TeslaCrypt требует от жертвы 1.5 BTC или 622$ для расшифровки файлов.

Для дополнительной информации Yonathan оставил адреса серверов управления и распространения малвари, так что в корпоративных сетях можно добавить этот список в blacklist:

Bedep C&C:
  • 89.163.240.118 / kjnoa9sdi3mrlsdnfi[.]com
  • 85.25.41.95 / moregoodstafsforus[.]com
  • 89.163.241.90 / jimmymorisonguitars[.]com
  • 162.244.32.121 / bookersmartest[.]xyz

TeslaCrypt C&C:
  • 50.87.127.96 / mkis[.]org
  • 213.186.33.104 / tradinbow[.]com

Комментарии (13)


  1. disakov
    27.03.2016 17:43

    Понятно, что вроде как со всеми такое может случится. но уж контора, которая раздает сертификаты по безопасности могла бы следить за своим сайтом. Тот же corelan.be тоже на Wordpress, но криптолокеры не раздает. Хотя если эти люди придумали CEH, то чего уж от них ждать.


  1. lBaltazar
    28.03.2016 18:30

    Сравним ссылки:
    www.eccouncil.org < адрес в статье
    iclass.eccouncil.org < адрес на картинке
    Per rectum ad aspera?