Avaliando o custo de um ataque DDoS
Um cliente de nome de domínio e provedor de hospedagem web 123-reg culpa a empresa por um hack de domínio que os surfistas redirecionado para sites maliciosos que empurram uma farsa ransomware.
O problema foi agravado, de acordo com o cliente lesado, quando o pessoal de apoio 123-reg supostamente esqueceu-se de dizer ao cliente quando eles descobriram que a conta tinha sido comprometida. Ele alega que piorou as coisas de forma consistente ignorando as solicitações de suporte.
Principais locais do cliente foram recebidos com empresa parceira do 123-reg WebFusion. A pessoa envolvida, que deseja permanecer anônimo, aproximou-se pela primeira vez este provedor de hospedagem antes de ele finalmente compreendeu 123-reg estava no centro do problema, alguns dias depois. 123-reg e WebFusion são ambos de propriedade da Host Europe Group.
"Eu fui em círculos por três dias", o cliente disse El Reg. "Techs do Webfusion estavam me dizendo que não havia nada de errado, mas eu continuei recebendo notificações de outros sites que também foram atingidos. Quando eu perguntei a eles para executar uma verificação de baixo nível no servidor eles simplesmente me enviou um link para um site sobre a forma de aprender Linux. "
Clientes do cliente alertou que seus domínios foram sendo redirecionado para um site ransomware em 21 de janeiro. Surfistas que tentaram visitar os locais afetados foram servidos código malicioso que trancou seus navegadores e falsamente advertiu-lhes que tinha sido apanhado download de imagens de abuso de crianças, em uma tentativa de extorquir-los em pagar uma "multa".
Felizmente nenhum código malicioso foi empurrado diretamente nas máquinas dos visitantes eo navegador problema lock-up poderia ser resolvido com o uso criterioso de control-alt-delete.
Configurações de DNS prevaricação
Depois de digitalizar seus servidores para o malware, o cliente chamou um espaço em branco -, mas acabou por ser capaz de reduzir a causa do problema a manipulação configurações de DNS.
"Meu pensamento inicial era de que este era um problema com os meus servidores Webfusion. Foi só quando eu recebi um e-mail relatando um problema em um domínio que não tenha criado um site para que eu percebi que era um problema com o meu nome de domínio registro, ", explicou.
"Todos os 120 + nomes de domínio tinha sido definido como auto-expire, metade foram redirecionados para locais espúrios e mais de um terço tinha comprometido DNS com DNS adicional redireciona para esses sites de resgate. Eu tive que passar por todas as contas individuais, um por um, e verificar todos os ambientes. 123-reg, ao tentar ser útil, não fazer nada. "
O problema foi resolvido, eventualmente, em 24 de janeiro, mas o cliente ficou insatisfeito por todo o incidente, e, em especial, a manipulação de 123-reg do problema.
Os domínios desonestos promovidas através do golpe eram da forma abuso policial (dot) domínio (dot) com.
Em resposta a consultas de El Reg sobre o assunto, os porta-vozes 123-reg afirmaram que a empresa não pode ainda liberar detalhes de sua própria investigação interna sobre o assunto, pois não recebeu a permissão do cliente para fazer isso. No entanto, a empresa disse:
O que podemos confirmar é neste momento todas as indicações são de que 123-reg não teve comprometimento de seus sistemas - mas eles estão trabalhando para verificar isso totalmente. Parece segurança do correntista tenha sido comprometida, mas não através de sistemas do 123-reg.
123-reg teve problemas relacionados no passado. Uma falha de segurança no console de gerenciamento do 123-reg resultou no seqüestro de 300 domínios de volta em 2012, um problema exclusivamente revelada por O Reg março 2013 . Esse problema foi finalmente rastreado a um painel de controle de conta aberta, que tinha permitido que sejam feitas alterações sem autenticação adequada.
Nominet posteriormente disse-nos três outros registradores também tinha sido afetado.
Seqüestro de Tráfego
Fraser Howard, pesquisador de vírus sênior da empresa de segurança sediada no Reino Unido SophosLabs, foi capaz de confirmar que os domínios desonestos solicitado através do golpe, e aqueles como eles, estavam a receber uma grande quantidade de tráfego durante o período relevante, em janeiro. Sophos não foi capaz de dizer onde o tráfego originado.
Pode muito bem ser que os clientes de outros registradores de domínio também foram afetados. Todos Sophos é capaz de dizer com certeza é que o esquema gerado muito tráfego e o malware envolvido estava entre as cinco cepas mais comuns que detectados durante o período relevante no final de janeiro.
"Isso é algo que temos visto. Na bastante alto volume, de fato," Howard disse El Reg por e-mail.
"Numerosos outros sites foram igualmente afetados - ou, mais especificamente, as configurações de DNS para esses sites foram afetados", disse Howard El Reg. "Eu posso confirmar que o alvo do" sequestro de tráfego "é uma página web malicioso desenhado para 'travar' o seu navegador. Sophos detecta esse HTML malicioso / JS como Troj / Ransom-AFD.
"A página contém a engenharia social típico intenção de enganar o usuário a pagar., Por exemplo, que diz ser do FBI e detectaram a pornografia infantil na máquina. Mas eis que, há um formulário para o usuário para fazer um pagamento via MoneyPak ", acrescentou Howard.
O mesmo golpe ainda está em curso embora em menor grau do que na segunda quinzena de janeiro, quando atingiu um pico.
"Nós ainda estamos vendo detecções de Troj / Ransom-AFD no feedback dos clientes para o dia de hoje", explica Howard. "Durante a segunda quinzena de janeiro, Troj / Ransom-AFD foi o quinto ameaça web mais prevalente foi detectada em terminais cliente.
.. "Curiosamente, no início de Janeiro, entre cerca de 08-20 janeiro, estávamos vendo os mesmos ataques, mas o uso de domínios outright mal, registrados com o propósito [Esta usado] exatamente o mesmo tipo de ataque - HTML / JS para travar o navegador -. mas usando o que parece ser inscrições COM descartáveis recém-registrados dot Todos usando cordas de subdomínio para tentar fazer com que pareça crível ", acrescentou.
Em alguns casos, o usuário não é redirecionado para a página ransomware mas um site pornô em seu lugar.
"Configurações de DNS do cliente Hacking é feito, a fim de evitar tecnologias de filtragem de reputação. Ele não é novo", Fraser concluiu. Ataques usando métodos semelhantes datam de finais de pelo menos 2012.
Ransomware "polícia alerta '
O cliente 123-reg parece ter sido vítima de um tipo de configuração de DNS ataque manipulação que os suspeitos Fraser foi realizada utilizando senhas comprometidas.
"Entender como as contas de clientes foram comprometidos de tal forma que as configurações de DNS foram atualizados seria útil. Senhas comprometidas, talvez? Os usuários precisam entender que a sua configuração DNS é a chave para o reino e, como tal, deve ser bem protegido."
O cliente 123-reg afetados mudou todas as senhas para os sites que ele administra, mas ainda está em causa, na ausência de uma explicação clara do que aconteceu, sobre o que as outras etapas que ele pode precisar tomar para evitar uma repetição do ataque.
Empresa de segurança Net Malwarebytes também testemunhou "Alert-polícia" golpes ransomware em ação nos últimos dias.
"'Alerta-polícia" tem aparecido em uma série de diferentes URLs ao longo dos últimos dias, e eles parecem seguir um padrão semelhante ao anterior, então há uma boa chance de que eles estão todos relacionados ", disse Chris Boyd, inteligência de malware analista da Malwarebytes, disse El Reg.
Malwarebytes não viu os domínios mencionados pelo cliente 123-reg em ação - compreensão de El Reg é que estes têm se mostrado o cartão vermelho - mas tem algumas teorias sobre como o ataque poderia ter sido puxado para fora.
"É possível que os atacantes foram para baixo a rota típica de engenharia social o registrador ou usou um ataque de malware direcionados para obter acesso a várias credenciais", explicou Boyd.
"Esta parece ser uma campanha ransomware bastante normal - IPs ligados à Federação Russa, URLs potencialmente comprometidos misturado com sites personalizados construídos e páginas assustas geograficamente segmentados", acrescentou. ®
Tenho um domínio hospedado no ¨Provedor¨ HostFácil, que se diz provedor e ainda diz Tecnologia descomplicada... Acontece que estou uns 3 meses com esses caras e por várias vezes deixaram meu site e meus emails sem funcionar por um bom tempo... O problema que quando reclamo eles nunca te dão uma resposta. Agora migraram para outro servidor dizem eles, e nesse meio tempo tudo parou nada funcionou.... e quando voltou funcionar depois de algumas horas, voltou com várias deficiência. Os PHPs que estavam instalados corretamente estavam todos com erros de configuração e de acesso algumas páginas... Pior que mesmo reinstalando não funcionou nenhum PHP corretamente. Me sinto lesado por esses que se intitulam Provedor de Hospedagem. Me sinto no prejuízo, pois confiei a eles hospedar um site de minha empresa e emails. Pedi o cancelamento algumas vezes diante da minha insatisfação, e inclusive pedi reembolso, pois foram 03 meses que mau usei, e eles nada respondem nada. Ficam em silêncio aguardando um satisfeito ir embora e outro trouxa entrar... É um absurdo isso!!!
ResponderExcluirO que fazer com provedores de Hospedagem que Enganam as pessoas???
ResponderExcluirPessoal não caiam na conversa deles, principalmente desses que se intitulam HostFácil. http://www.hostfacil.co/ esse é site dos crápulas!