It-sikkerhedsfirmaet CSIS fortæller nu at flere større danske virksomheder uden deres viden har lækket brugernavne og adgangskode til FTP og POP3 (mail) servere. Det kan give it-kriminelle mulighed for at uploade og ændre indhold på de kompromitterede websider og give adgang til potentielt følsomme data.
”Der er tale om flere end 200 danske websider som er kompromitteret, hvoraf ca. de 10 af disse er det vi vil betragte som meget store og velbesøgte websider,” siger CSIS-ekspert Peter Kruse til ComON.
De pågældende maskiner er blevet inficeret med malware relateret til Kazy/Renos som blandt andet installerer den såkaldte "Liteloader" der systematisk høster netop brugernavne og passwords fra inficerede maskiner.
CSIS oplyser at man har adgang til et depot med flere tusinde FTP-brugernavne og kodeord. Depotet afslører, at der blandt de kompromitterede computere også findes maskiner der har adgang til flere af Danmarks største virksomheder og portaler.
”Vi vil af gode grunde ikke afprøve de høstede passwords, så vi kan ikke validere hvorvidt de fungerer eller om der er begrænsninger, men da C&C serveren løbende opdateres med passwords der sendes fra inficerede maskiner har vi en formodning om at ofret ikke er bekendte med infektionen. Vi antager at de lækkede brugernavne og passwords er legitime,” siger Peter Kruse.
Han fortæller at CSIS i øjeblikket er i gang med at orientere de implicerede virksomheder om denne lækage.
”Selv hvis en inficeret bruger bliver bekendte med at websiden kan overtages af andre, eller at der reelt uploades f.eks. et script, så vil det at skifte password ikke gøre nogen forskel, idet det nye password ved pålogning vil blive uploadet af malwaren til C&C serveren. Den bedste løsning er at lokalisere infektionen, fjerne den og derefter skifte password. Dernæst kan der være noget oprydning der skal foretages på serveren, da andre har haft adgang og potentielt have uploadet eller ændret indhold på webserveren,” siger Peter Kruse.
