Μια malvertising καμπάνια που χρησιμοποιήθηκε για να πραγματοποιηθεί μια επίθεση ransomware, χτύπησε δύο πανεπιστήμια του Ηνωμένου Βασιλείου και ήταν ικανή να μολύνει όλους τους χρήστες που απλώς επισκέφτηκαν την κακόβουλη ιστοσελίδα.
Το Πανεπιστήμιο του Λονδίνου και το Πανεπιστήμιο του Ulster έβγαλαν τα συστήματα τους εκτός σύνδεσης μετά από μια επίθεση από ransomware, το οποίο έχει πλέον αναγνωριστεί από τους ερευνητές ασφάλειας σαν Mole ransomware, μια μορφή κακόβουλου λογισμικού κρυπτογράφησης αρχείων που εμφανίστηκε για πρώτη φορά τον Απρίλιο. Ονομάζεται έτσι γιατί οι επεκτάσεις των μολυσμένων αρχείων αλλάζουν σε .MOLE. Το κακόβουλο λογισμικό φέρεται να είναι μέλος της οικογένειας ransomware CryptoMix.
Οι ερευνητές ασφαλείας της Proofpoint αποκάλυψαν ότι τα ransomware, χρησιμοποίησαν διαφημίσεις της AdGholas για την εξάπλωσή τους.
Αν και η συγκεκριμένη επίθεση στόχευε τα δύο Βρετανικά πανεπιστήμια το malvertising ήταν μέρος μιας πολύ ευρύτερης επίθεσης που προσπαθούσε να χτυπήσει ολόκληρες χώρες σε όλο τον κόσμο μέσω ενός κακόβουλου ιστότοπου.
Ένας από τους λόγους για τους οποίους το ransomware ήταν σε θέση να διεισδύσει στα δίκτυα των Πανεπιστημίων ήταν επειδή οι χρήστες δεν χρειαζόταν να κάνουν κάποιο κλικ στις κακόβουλες διαφημίσεις. Η επίσκεψη απλά στην κακόβουλη ιστοσελίδα αρκούσε για να μολυνθούν οι πάντες, καθώς οι επιτιθέμενοι χρησιμοποίησαν το Astrum exploit kit και ένα παλιό exploit του Flash.
“Δεν χρειάζεται να κάνετε κλικ στη διαφήμιση για να μολυνθείτε, αρκεί απλώς να εμφανιστεί η διαφήμιση: αν το σύστημά σας είναι ευάλωτο, τότε η μόλυνση θα προκληθεί χωρίς οποιαδήποτε αλληλεπίδραση του χρήστη”, δήλωσε ο ‘Kafeine’, ο ερευνητής που ανακάλυψε το ransomware-dropping.
Η επίθεση άρχισε μεταξύ της 14ης και της 15ης Ιουνίου, σε στόχους στο Ηνωμένο Βασίλειο και ίσως στις ΗΠΑ.
Εκείνοι που μολύνθηκαν με το Mole είδαν ένα σημείωμα που τους απαιτούσε 0,5 Bitcoin (σήμερα 1.364 δολάρια) σαν αντάλλαγμα για την αποκρυπτογράφηση των αρχείων.
Ωστόσο, στην περίπτωση των πανεπιστημίων UCL και Ulster, τα λύτρα δεν καταβλήθηκαν καθώς οι διαχειριστές διέθεταν αντίγραφα ασφαλείας που είχαν ληφθεί πριν από την επίθεση.