3.500 servers gehackt in grootschalige cybercrimecampagne
Cybercriminelen hebben in een wereldwijde actie 3.500 servers gekraakt. De websites die op deze servers draaien zijn voorzien van malafide code die nietsvermoedende bezoekers automatisch doorstuurt naar een malafide website, waar informatie over hen verzameld.
Dit meldt Symantec. Geïnfecteerde servers zouden direct na de jaarwisseling zijn gestart met het doorsturen van bezoekers naar malafide pagina’s. Op deze pagina’s wordt informatie verzameld over bezoekers. Het gaat hierbij onder andere om het IP-adres, Adobe Flash Player-versie, taalinstellingen en beeldschermresolutie.Symantec vermoedt dat het gaat om een voorbereidende aanval. Met de aanval wordt waarschijnlijk informatie verzameld om doelwitten te verzamelen voor een aanval die op een later tijdstip op de planning staat.
Direct na de jaarwisseling gestart
De aanvalscampagne is direct na de jaarwisseling gestart. Getroffen servers zouden tot 9 januari bezoekers hebben doorgestuurd, waarna een duidelijke dip in het verkeer te zien is. De aanvalscampagne is vervolgens op 14 januari weer voortgezet.
De meeste bezoekers die zijn doorgestuurd naar malafide websites zijn afkomstig uit de Verenigde Staten (47%). 12% van de gebruikers is afkomstig uit India. Ook gebruikers uit het Italië (6%), Japan (6%), het Verenigd Koninkrijk (6%), Canada (5%), Frankrijk (5%), Rusland (5%), Brazilië (4%) en Oostenrijk (4%) zijn door de aanval getroffen.
Veel Amerikaanse servers
Als we kijken naar de aangevallen servers blijkt 75% gehost te zijn in de Verenigde Staten. In de meeste gevallen gaat het om bedrijfswebsites, overheidssites of websites op het ‘.edu’ topleveldomein. Alle getroffen websites zouden gebruik maken van een ‘bekend contentmanagementsysteem’, al laat Symantec in het midden om welk systeem het gaat.
Symantec heeft code gepubliceerd die aan gehackte websites worden toegevoegd. Het beveiligingsbedrijf adviseert beheerders te controleren of hun website deze code bevat. Indien dit het geval is adviseert Symantec de volledige website na te lopen op malafide code.