Mange danske kommuner og virksomheder er i de senere måneder blevet ramt af ransomware.
Seneste eksempel er Faaborg-Midtfyn Kommune. Den historie kan du læse her: Endnu en dansk kommune ramt af ransomware: Sådan løste vi problemet
Der er blevet gættet på, hvordan ofrene er blevet inficeret, og nu ser det ud til, at svaret er fundet.
"Vi har analyseret en hel stribe eksempler af Cryptowall3, og det ser i alle tilfælde ens ud. Ransomware kommer fra inficerede websider, hvilket forklarer de mange danske tilfælde af ransomware," siger Peter Kruse fra sikkerhedsfirmaet CSIS.
"Der er tale om regulære drive by-angreb, hvor det typisk er Flash-afspilleren, der bliver misbrugt."
CSIS har analyseret sagerne, og der tegner sig et tydeligt mønster:
"Alene i Danmark er flere end 250 websider blevet systematisk kompromitteret, og it-kriminelle har brugt denne lejlighed til at indsætte et ondsindet script - teknisk set en IFRAME - flere centrale steder på siden," fortæller han til Computerworld.
Det script flytter brugeren til et nyt websted indeholdende et exploit kit, der hedder AnglerEK.
Et exploit kit kan it-kriminelle bruge til at sætte malware-fælder op på hjemmesider, der er kompromitteret.
"Det er leveringsmetoden, som ransomware anvender til at finde vej ned på din maskine."
Eksempler på ramte danske domæner er: kunde.statoil, slankeklubben, matchbiler, danskemarketing og danskenetspil.
De ramte sider er informeret.
Flash og Java baner vejen
AnglerEK udnytter sårbarheder i eksempelvis Flash, Reader/Acrobat og JavaJRE. Hvis computeren ikke er opdateret og derved sårbar vil den blive tvangsfodret med Cryptowall3.
"Vores analyse afslører, at de mange kompromitterede websider kører CMS software, som ikke er behørigt opdateret. Derved er det lykkedes at lave masse kompromitteringer og indlejre det ondsindede script på de mange websider," forklarer Peter Kruse.
Det er de store CMS'er som Wordpress, Joomla og Drupal, der ikke er blevet opdateret og derved har gjort sig selv til smittebærer for malware, der rammer de personer, som besøger siden.
"Antivirus detektion for AnglerEK er generelt lav, men ved at opdatere sin maskine og eventuelt lukke for Flash og Java, så er man uden for farezonen."
Virksomheder, som ikke gør professionelt brug af Flash Player, kan også overveje at afinstallere/deaktivere dette plugin.
Læs også:
Ransomware spøger stadig: Arbejdsskadestyrelsen lukker it-systemerne ned igen-igen
Her er arbejdsmetoden: Sådan suger software-kidnappere penge ud af danskerne
Dansk kommune hacket: Filer er blevet låst - og der kræves løsesum