Badan penegak hukum internasional membersihkan hampir 15.000 situs WordPress yang terinfeksi malware dan menghapus lebih dari 100 server yang terkait dengan botnet SocGholish dan kelompok kejahatan dunia maya Evil Corp Rusia.
Aksi bersama ini (didukung oleh Europol dan Eurojust) merupakan bagian dari Operasi Akhir Permainansebuah operasi penegakan hukum besar yang menargetkan kejahatan dunia maya yang kini bertujuan untuk memutus rantai infeksi utama yang terkait dengan Evil Corp.
Pihak berwenang dari Belanda (NHCTU), Kanada (RCMP), Amerika Serikat (FBI), dan Jerman (BKA) membersihkan infeksi malware SocGholish dari 14.971 situs WordPress yang disusupi dan membuat 106 server dan domain offline.
Meskipun polisi Belanda menghapus malware dan pintu belakang dari situs yang terinfeksi, polisi juga menyarankan pemilik situs web untuk mengubah kredensial mereka, mengaktifkan autentikasi multifaktor, menghapus akun WordPress yang tidak dikenal, dan selalu memperbarui situs WordPress mereka.
“Dengan tindakan ini kami menghilangkan akses penjahat dunia maya ke sistem komputer yang terinfeksi. Hal ini mencegah kerusakan lebih lanjut pada sistem digital masyarakat, bisnis, dan organisasi di seluruh dunia dan membatasi penyebaran malware,” kata Maikel Rollmandari Unit Kejahatan Teknologi Tinggi Nasional Belanda.
“Hal ini juga mengurangi risiko bahwa sistem ini digunakan untuk serangan siber terhadap infrastruktur penting dan proses sosial penting lainnya. Hal ini menandai dimulainya tindakan lebih lanjut terhadap SocGholish.”
Itu SocGholish Pengunduh malware berbasis JavaScript (juga dilacak sebagai FakeUpdates dan GhoLoader) telah digunakan dalam serangan setidaknya sejak tahun 2017, dan bekerja dengan membajak situs web yang sah (terutama situs WordPress) dan menipu pengunjung agar mengunduh muatan berbahaya, yang biasanya disamarkan sebagai pembaruan browser palsu.
Saat pengguna menginstal pembaruan berbahaya, malware tersebut membuka koneksi ke penyerang, memberi mereka akses ke sistem yang terinfeksi. SocGholish juga telah digunakan untuk menyebarkan keluarga malware lainnya, termasuk Dridex, Doppelpaymer, Empire, Koadic, Chtonic, dan Azorult.
Malware tersebut sebelumnya telah ditautkan Perusahaan Jahatgeng kejahatan dunia maya Rusia yang aktif sejak tahun 2007 dan dikaitkan dengan keluarga malware Zeus dan Dridex dan berada di belakang Loker Terbuang, neraka, Loker MacawDan Pengunci Kripto Phoenix operasi ransomware.
“Ini menandai awal tindakan lebih lanjut terhadap SocGholish,” tambah Rollman dalam siaran pers yang diterbitkan hari ini.
Pada bulan November, sebagai bagian dari Operasi Endgame, lembaga penegak hukum juga menghapus lebih dari 1.000 server digunakan oleh operasi malware botnet Rhadamanthys, VenomRAT, dan Elysium.
Sebelumnya, Operation Endgame juga telah menargetkan infrastruktur ransomware, Pelanggan botnet Smokeloader dan server, itu situs AVCheckdan berbagai lainnya besar perangkat lunak perusak operasitermasuk DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee, dan SystemBC.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
