RIG EK preuzeo gdje je Neutrino stao

Nakon što je jedan exploit kit nestane, najčešće je potrebno neko vrijeme da se zamjeni sa drugim.

Dvadesetak dana nakon što su istraživači iz Cisco Talos-a prekinuli globalnu kampanju širenja CrypMIC-a korišćenjem Neutrino EK pojavila se nova kampanja ovog ransomware-a.

U novoj kampanji napadači su se odlučili za korišćenje RIG exploit kit-a. RIG nije novi exploit kit na tržištu, korišćen je 2014. godine za širenje Cryptowall virusa, ali postaje sve popularniji sa nestankom Neutrino-a.

Kampanja koristi legitimne veb stranice, koje su preuzete injekcijom koda, da preusmjere saobraćaj na exploit kit. Istraživači napominju da napadači koriste isti maliciozni IFrame kod za injekciju koji je korišćen u Neutrino-CrypMIC kampanji.

Tokom Neutrino-CrypMIC kampanje u roku od dvije sedmice je napadnuto oko milion korisnika. Ova kampanja je okončana od strane istraživača iz Talos-a koji su u saradnji sa GoDaddy ugasili kompromitovane domene.

RIG u ovoj kampanji eksploatiše više ranjivosti u Adobe Flash Player-u koje uključuju CVE-2015-8651 i noviju CVE-2016-4117. Pored ovih ranjivosti napadači eksploatišu i zero day ranjivost u Internet Explorer-u označenu sa CVE-2016-0189.

Sve ove ranjivosti su zakrpljene, ali istraživači procijenjuju da su napadači inficirali oko 35.6% korisnika kojima su plasirane reklame.

Izvor:threatpost.com