Mainospalvelut ja vanhat Java-versiot kiristyshaittaohjelman levittäjinä

Reveton-kiristyshaittaohjelmaa levitetään edelleen aktiivisesti suomalaisten kotikäyttäjien koneisiin. Levitys tapahtuu usein OpenX-mainospalvelimien kautta käyttäen hyväksi Blackhole exploit kit -hyväksikäyttöalustaa. Suurin syy tietokoneen saastumiseen ovat vanhat Oracle Java ja Adobe Flash -versiot.

Keväällä alkanut kiristyshaittaohjelmien epidemia (ns. tapaus Ransu) ei ota laantuakseen. CERT-FI saa edelleen päivittäin yhteydenottoja loppukäyttäjiltä, joiden tietokone on saastunut Reveton-kiristyshaittaohjelman jollain versiolla. Ilmoitetut haittaohjelmaversiot näyttäisivät edelleen samankaltaisilta kuin kesäkuussa, jolloin CERT-FI tutki yhden saamansa version kiristyshaittaohjelmasta.

On vahvoja viitteitä siitä, että yksi kiristyshaittaohjelman levitysmekanismeistä ovat saastutetut OpenX-mainosalustat. Mainosalustojen avulla hyökkääjät voivat yrittää saastuttaa useiden suosittujen www-sivustojen käyttäjiä. OpenX-projekti julkaisi korjaukset mainosalusalustan haavoittuvuuksiin toukokuussa. CERT-FI:n selvitysten mukaan verkossa on suomalaisia OpenX-palvelimia joita ei ole päivitetty yli kolmeen vuoteeen. CERT-FI on tänä aamuna lähettänyt joukolle suomalaisia mainospalveluja kehoitukset asentaa päivitykset ja tutkia järjestelmänsä tietomurtojen varalta.

Joissain tietoomme tulleissa tapauksissa saastuneet mainosalustat ohjaavat käyttäjää murretuille sivuille, joihin on asennettu Blackhole exploit kit -hyväksikäyttöalusta. Se yrittää urkkia tietoja käyttäjän järjestelmistä ja eri ohjelmistojen versioista, ja tarjoaa niitä vastaan toimivia hyväksikäyttömenetelmiä. Julkisuudessa esiintyneiden tietojen mukaan haittaohjelmia onnistutaan levittämään erityisesti vanhoja Oracle Java -versioita käyttäen.

CERT-FI kehottaa loppukäyttäjiä päivittämään tietokoneensa varusohjelmat, erityisesti Oracle Java ja Adobe Flash -selainlaajennukset. Verkkomainosalustojen ylläpitäjien taas kannattaa päivittää OpenX ensi tilassa tuoreimpaan versioon 2.8.9.

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248