CCleaner hack påvirkede millioner af computere verden over
CCleaner fra Piriform er en topbedømt pc-optimeringssoftware, som milliarder (ikke millioner!) brugere verden over har tillid til. Det er et helt legitimt systemvedligeholdelsesværktøj med et pletfrit ry. Desværre oplevede virksomheden for nylig noget meget ubehageligt og det, der er offentligt kendt som "forsyningskædeangreb."
Det ser ud til, at hackere kompromitterede virksomhedens servere for at injicere malware i den legitime version af pc'en optimeringsværktøj, som med succes landede den ondsindede komponent på mere end 2,27 millioner computere i hele verden.
Den 18. september 2017 annoncerede Paul Yung, Piriforms vicepræsident, hacket i et bekymrende blogindlæg. VP undskyldte og sagde, at hackere formåede at kompromittere CCleaner 5.33.6162 og CCleaner Cloud version 1.07.3191. Det ser ud til, at disse versioner blev ulovligt modificeret for at konfigurere bagdøre på brugernes computere.
Virksomheden tog handlinger for at fjerne serveren, der kommunikerede med bagdøren. Det ser ud til, at den malware, der er injiceret i pc-optimeringssoftwaren (kendt som Nyetya eller Floxif Trojan) kunne overføre navnet på computeren, liste over installeret software eller Windows-opdateringer, kørende processer, MAC-adresser på de første tre netværksadaptere og endnu flere data om computeren til en fjernbetjening server.
Malware indsamler data fra kompromitterede systemer
I første omgang opdagede eksperter kun den første trins nyttelast. Ifølge analytikere var CCleaner 5.33 virus i stand til at overføre flere typer data til sin egen database, herunder ofres IP-adresser, online tid, værtsnavne, domænenavne, lister over aktive processer, installerede programmer og endnu mere. Ifølge eksperter fra Talos Intelligence Group, "ville denne information være alt, hvad en angriber har brug for for at starte en senere nyttelast."
Men lidt senere afslørede malware-analytikere CCleaner virus' funktionalitet til at downloade anden trins nyttelast.
Det lader til, at den anden nyttelast kun er rettet mod gigantiske teknologivirksomheder. For at opdage målene bruger malwaren en liste over domæner, såsom:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Husk, at det er en forkortet liste over domæner. Efter adgang til Command & Control-databasen opdagede forskere mindst 700.000 computere, der reagerede på serveren, og mere end 20 maskiner inficeret med anden fase af malware. Anden trins nyttelast er designet til at give hackere mulighed for at få et dybere fodfæste på teknologivirksomheders systemer.
Fjern CCleaner malware og beskyt dit privatliv
Ifølge Piriform lykkedes det hackere at ændre CCleaner 5.33-versionen, før den blev lanceret. 5.33-versionen blev frigivet den 15. august 2017, hvilket betyder, at kriminelle begyndte at inficere systemer den dag. Efter sigende stoppede distributionen først den 15. september.
Selvom nogle eksperter anbefaler at opdatere CCleaner til version 5.34, er vi bange for, at det måske ikke er nok til at roote bagdøren ud af dit system. 2-Spyware-eksperter anbefaler at gendanne din computer til tilstanden før 15. august og køre anti-malware-program. For at beskytte dine konti anbefaler vi også, at du ændrer alle dine adgangskoder ved hjælp af en sikker enhed (såsom din telefon eller en anden computer).