Artikel top billede

Pas på: Hackere sætter jagten ind på disse domæner

Antallet af en særlig slags domæner brugt i angreb er steget voldsomt i år, advarer flere sikkerhedsleverandører. Der er en bestemt grund til, at hackerne især har kig på disse bestemte domæner.

Computerworld News Service: Datakriminelle gør i stigende omfang brug af .eu-domæner i deres angrebskampagner, viser data fra flere leverandører af it-sikkerhedsprodukter.

"I november er der blevet registreret mange skadelige .eu-domæner, som misbruges til at inficere pc'er med malware via angrebsværktøjet Blackhole," advarer Fraser Howard, der er ledende virusanalytiker hos sikkerhedsleverandøren Sophos, i et blogindlæg torsdag.

Blackhole er et webbaseret angrebsværktøj, der anvender forskellige exploits af sårbarheder i browser-udvidelser såsom Adobe Reader, Flash Player eller Java til at inficere computere med malware.

I et angreb, observeret af Sophos, havde datakriminelle deres Blackhole-angrebssider liggende på hvad, der så ud til at være tilfældige domæner, der alle endte med topdomænet .eu, og som alle pegede på en kendt skadelig server fysisk placeret i Tjekkiet.

Har kort liv

"Domænerne er kortlevede. De peger kun på en given server i en kort periode, før angriberne bevæger sig videre," forklarer Howard. "Denne taktik er ret almindelig og har til formål at undgå sikkerhedsfiltre."

Det er dog som regel andre toplevel-domæner end .eu, der misbruges i sådanne angreb, påpeger Howard.

Sophos kunne ikke umiddelbart oplyse nærmere om antallet af angreb i år, der gør brug for skadelige .eu-domæner, men ifølge data fra antivirussoftware-producenten Bitdefender er misbruget af .eu-topdomænet stigende.

"I løbet af andet halvår af 2012 har vi set stigende skadelig aktivitet på toplevel-domænet .eu," oplyser Bogdan Botezatu, der er senioranalytiker af e-trusler hos Bitdefender, fredag via e-mail.

"Sammenlignet med første halvår er antallet af skadelige .eu-domæner næsten tredoblet fra 0,53 procent af alle sikkerhedshændelser, der involverer TLD'er, til 1,38 procent."

I årets første seks måneder var .eu ifølge Botezatu det 11. mest misbrugte toplevel-domæne.

"Nu ligger det nummer otte." Det er stadig russiske domæner, .com og .info, der misbruges mest.

"Vi kan bekræfte den tendens, at .in- og .eu-domæner ofte bruges til at hoste skadelige websteder og spamkampagner," udtaler en repræsentant fra producenten af antivirussoftware Kaspersky Lab via e-mail.

"Begge topdomæner er blandt de 15 nationale domænezoner, der misbruges mest til skadelige websteder. Det bør også bemærkes, at det notoriske botnet HLUX (også kaldet Kelihos) brugte adskillige .eu-domæner."

Derfor vælger hackerne bestemte domæner

Datakriminelle bevæger sig meget rundt, forklarer Fraser Howard, der er ledende virusanalytiker hos sikkerhedsleverandøren Sophos.

Den eneste grund til, de vælger ét toplevel-domæne frem for et andet, er, fordi de finder en domæneregistrator, hvor det er lettere at registrere domæner under et bestemt toplevel-domæne, eller fordi de har en idé om, at et særligt toplevel-domænes omdømme er bedre end andres, forklarer han.

"Tillid er den eneste egentlige fordel ved at vælge ét TLD frem for et andet," påpeger han.

"Har brugerne mere tillid til visse TLD'er end andre? Hvis det er tilfældet, så er det en fordel for angriberne at bruge det TLD."

Omdømme og pris

Botezatu vurderer, at .eu-domæner imødekommer de kriminelles krav til både omdømme og pris.

"Da .eu-domænerne først for nylig er blevet populære hos de kriminelle, så associeres de ikke med misbrug," forklarer han.

"Ofre regner ikke med at blive angrebet ved at besøge et europæisk domæne og desuden forventer de her også, at indholdet er skrevet på engelsk. Eksempelvis russiske TLD'er derimod er kendt for at blive brugt til datakriminalitet og leverer desuden lokaliseret indhold, der er uforståeligt for personer, der ikke læser russisk."

"Det faktum, at .eu-domæner koster det samme som .com- og .info-domæner og kan købes på årsbasis er også en fordel for datakriminelle, som er ude efter de billigste domæner for den kortest mulige periode," fremhæver han.

Har handlet resulut

Nonprofit-organisationen EURid, der administrerer toplevel-domænet .eu under kontrakt med Europa-Kommissionen, har ifølge Howard historisk set handlet resolut for at beskytte toplevel-domænets omdømme.

EURid har ifølge Howard fortalt analytikerne fra Sophos, at organisationen har løst problemet efter at være blevet gjort opmærksom på det seneste Blackhole-angreb.

Det står dog ikke klart, om det blot betyder, at domænerne er blevet suspenderet, eller om organisationen har gjort noget for at forhindre de kriminelle i at registrere nye domæner, påpeger Howard.

EURid modtager fortsat kun meget få klager, oplyser generaldirektør Marc Van Wesemael fredag via e-mail.

"Vi har altid modtaget enkelte klager, hvilket vi sandsynligvis fortsat vil. Jeg vil dog gerne understrege, at vi har interne procedurer på plads til at bekæmpe misbrug af .eu."

EURid yder en stor indsats for at bekæmpe misbrug af .eu-domæner og har automatiserede værktøjer, der kan identificere misbrug så tidligt som muligt, skriver Van Wesemael.

"Vi samarbejder også tæt med adskillige sikkerhedsorganisationer, som giver os tidlige advarsler om misbrug af.eu-websteder/domænenavne."

Over 95 procent af de tilfælde af misbrug, som EURid behandler, indebærer dog legitime .eu-websteder, der er blevet hacket og inficeret med malware, oplyser Van Wesemael.

I disse tilfælde er det ifølge Van Wesemael ikke muligt blot at lukke de inficerede websteder, fordi de muligvis bruges af deres ejere til legitime forretningsmæssige formål.

"EURid meddeler den ansvarlige registrator og/eller registrant om enhver kendt hændelse og derefter følger vi op på sagen, indtil problemet er løst."

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere