A támadók először a Pony nevű trójai programot használják jelszavak ellopására weboldalak üzemeltetőinek megfertőzött számítógépeiről a Heimdal Security biztonsági cég kutatói szerint. A megszerzett bejelentkezési adatok birtokában rosszindulatú kódot helyeznek el legális weboldalakon. Céljuk az, hogy az ide csalt áldozatok gépén lévő sérülékenységeket kihasználják az Angler nevű exploit kit segítségével. Ez a webalapú támadó eszköz kihasználó kódot tartalmaz a Windows és böngésző bedolgozók (Flash és Java) különféle sérülékenységeihez.
A kiberbűnözők a nem frissített szoftvereket futtató számítógépek esetében számíthatnak sikerre, és ha valamelyik kihasználás eredményre vezet, a CryptoWall 4 zsarolóprogramot telepítik az áldozat gépére. A CryptoWall az egyik leginkább elterjedt zsarolóprogram, amely készítőinek több millió dollárnyi bevételt hozott. A vírus egy erős titkosítással elérhetetlenné teszi a megfertőzött gépen lévő dokumentumokat, majd váltságdíjat követel a dekódoló kulcsért.
Azok az áldozatok, akik nem készítenek rendszeresen tartalék másolatot értékes dokumentumaikról - márpedig rengetegen vannak ilyenek, köztük vállalatok és kormányzati szervezetek is -, nem tehetnek mást, mint hogy kifizetik a váltságdíjat, ha nem akarnak végleg lemondani pótolhatatlan állományaikról. És az is előfordulhat, hogy a fizetés ellenére sem kapják vissza adataikat a hackerektől.
A biztonsági kutatók által származó információk szerint a három veszélyes malware komponenst bevető kibertámadási kampány rendkívül kiterjedt, és egy ukrajnai kiszolgálógépről eredeztethető. A kiberbűnözők pénzszerzési célja és az általuk alkalmazott módszerek ismeretében valószínűsíthető, hogy a támadássorozat rengeteg számítógépet és felhasználót fog érinteni.
A Heimdal Security a támadássorozat kivédésére az alábbi óvintézkedéseket javasolja:
- Tartsuk naprakész állapotban a gépünket, és mindig telepítsük a legújabb frissítéseket
- Rendszeresen készítsünk tartalék másolatot dokumentumainkról
- Ne látogassunk gyanúsnak tűnő weboldalakat
- Ne nyissunk meg spam üzeneteket és ismeretlenektől érkező e-maileket
- Ne töltsük le vagy nyissuk meg az ilyen elektronikus levelekben található mellékleteket
- Használjunk megbízható fejlesztőtől származó vírusellenes programot, amely felismeri és blokkolja a legújabb zsaroló- és titkosítóprogram-változatokat, mivel, mint a mostani kampánynál is tapasztalhattuk, ezek akkor is megfertőzhetik észrevétlenül a számítógépünket, ha nem töltünk le szándékosan semmilyen fájlt