Меѓународна полициска операција насочена против групата „SocGholish“ резултираше со гасење на инфраструктурата што се користела за ширење малициозен софтвер и санација на околу 15.000 компромитирани веб-страници.
Акцијата е спроведена во рамки на операцијата „Ендгејм“, глобална иницијатива за борба против рансомвер групи и други форми на сајбер криминал.
Според холандската полиција, истражителите презеле контрола врз 106 сервери и интернет домени поврзани со инфраструктурата на „SocGholish“, додека истовремено биле отстранети вирусите од илјадници компромитирани веб-страници.
Групата е позната по компромитирање на легитимни WordPress сајтови или користење претходно украдени кориснички имиња и лозинки за преземање контрола врз нив.
По компромитирањето, посетителите на заразените страници добивале лажни предупредувања дека користат застарен софтвер кој бара итно ажурирање. Корисниците што го преземале и инсталирале наводното „ажурирање“ всушност го инфицирале својот уред со малициозен софтвер и станувале дел од ботнетот на „SocGholish“.
Според достапните информации, оваа инфраструктура ја користела и озлогласената сајбер-криминална група Evil Corp, која се поврзува со бројни напади врз државни институции, здравствени организации и компании ширум светот.
Во акцијата учествувале експерти од холандската Национална единица за високотехнолошки криминал, Federal Bureau of Investigation, германската Сојузна криминалистичка полиција, како и Europol и Eurojust.
Од холандската полиција оценија дека гасењето на оваа инфраструктура значително ќе ја намали можноста за понатамошно ширење на малициозен софтвер и злоупотреба на компромитирани системи за напади врз организации и критична инфраструктура.
Сопствениците на компромитираните веб-страници биле известени за инцидентот и добиле препораки да ги сменат податоците за најава, да овозможат повеќефакторска автентикација, да ги отстранат непознатите кориснички сметки и редовно да инсталираат безбедносни надградби за WordPress и другите компоненти на нивните страници.
Експертите предупредуваат дека компромитираните веб-страници и натаму претставуваат еден од најчестите начини за ширење малициозен софтвер, поради што редовното ажурирање на системите и заштитата на администраторските профили остануваат клучни мерки за спречување на вакви напади.
