Patru domenii ".ro" au fost afectate de software-ul malițios CTB Locker (Curve-Tor-Bitcoin Locker), prin care este solicitată o sumă de bani în schimbul decriptării unor informații deținute de către utilizatorii de internet, au atenționat, joi, specialiștii Centrului de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), pe propria pagină de internet.
Patru domenii .ro au fost afectate de CTB Locker, un ransomware care solicită bani de la utilizatorii de Internet
"(...) echipa CERT-RO a demarat o investigație în scopul alertării și sprijinirii cu informații ajutătoare potențialilor utilizatori victimă din România. Inițial, au fost analizate informațiile disponibile din surse deschise puse la dispoziție de către companiile de securitate informatică care au analizat deja cazul și au publicat serverele afectate de noua variantă a CTB-Locker. În plus, au fost efectuate o serie de verificări suplimentare utilizând căutări personalizate în Internet în scopul identificării altor servere afectate de către CTB-Locker. Lista centralizată a serverelor afectate a fost verificată îndeaproape de către specialiștii CERT-RO în vederea determinării adreselor IP, respectiv domeniilor înregistrate în România și dacă s-a luat vreo măsură în vederea remedierii problemei (au plătit suma, au făcut restore sau nu au făcut nimic). În urma investigației derulate, echipa CERT-RO a identificat un număr de 4 domenii '.ro' afectate, dintr-un total de peste 100 de cazuri detectate la nivel internațional", se menționează în comunicarea de specialitate.
Potrivit specialiștilor, CTB Locker, cunoscut și sub numele de Critroni, reprezintă un software malițios, de tip ransomware, al cărui scop este de a cripta fișierele stocate pe sistemul afectat. Acesta a fost lansat la jumătatea lunii iulie a anului 2014 și vizează toate versiunile de Windows, inclusiv Windows XP, Windows Vista, Windows 7 și Windows 8.
Amenințarea vizează serverele web este criptarea conținutului acestora și revendicarea unei sume echivalente a mai puțin de jumătate de Bitcoin (0,4 Bitcoin echivalentul a 150 de dolari americani) pentru recuperarea datelor într-un termen limită prestabilit.
"Dacă termenul limită este depășit, suma pentru decriptarea datelor se dublează. În mesajul care conține detaliile referitoare la ce modificări a suferit site-ul în urma infectării acestuia cu ransomware-ul CTB-Locker, atacatorul include link-uri către articole și tutoriale pentru creșterea credibilității mesajului, implicit pentru facilitarea modalității de plată a răscumpărării datelor. În momentul de față, încă nu se știe exact modul în care ransomware-ul CTB-Locker își alege serverele victimă din Internet, dar din analiza serverelor infectate de către specialiștii companiilor de securitate informatică, un lucru este cert: foarte multe dintre acestea utilizau platforma pentru administrarea conținutului (CMS) WordPress", susține CERT-RO.
Platforma WordPress este cunoscută pentru multiplele vulnerabilități pe care le-a avut în anii trecuți și, mai mult decât atât, plugin-urile care pot fi importate în aceasta reprezintă o altă sursă importantă de posibile vulnerabilități care pot fi exploatate de către atacatorii din mediul cibernetic.
Recomandarea CERT-RO este să nu se plătească recompensa solicitată de către atacatori, existând riscul să nu fie redobândit accesul la fișierele criptate nici după achitarea sumei de bani.
Pentru a minimaliza impactul daunelor ce pot fi cauzate de CTB-Locker, experții recomandă ca, la un interval regulat de timp, să efectuați următoarele operațiuni: backup-ul datelor pe un alt terminal de stocare, actualizarea frecventă a software-urilor utilizate, dar și a plugin-urilor, monitorizarea, în mod continuu, a funcționalității serverului web cu ajutorul diferitelor soluții de securitate disponibile în acest sens.
Sursa: MediaFax.