CCleaner-angreb var målrettet teknologivirksomheder
Forleden kom det frem, at det relativt populære program til at rydde op på Windows-maskiner med, CCleaner, i en periode havde været inficeret med malware. Og nu har folkene hos Ciscos sikkerhedsgren Talos fundet frem til, at malwaren er et led i et større angreb, der ser ud til at have været målrettet teknologivirksomheder.
Det oplyser The Register på baggrund af et blogindlæg fra Talos, som også Version2 har kigget på.
Fra 15. august til 12. september har en udgave af en ellers korrekt signeret CCleaner kunnet downloades fra det officielle download-sted.
Avast har netop overtaget Pirisoft og i den forbindelse CCleaner-produktet. Ledelsen fra Avast har tidligere oplyst oplyst, at ca. 2,27 millioner brugere har downloadet malware-udgaven af programmet i perioden.
CTO hos Avast Ondrej Vlcek har desuden tilkendegivet overfor The Register, at han ikke mener, der er grund til helt at wipe inficerede maskiner. I stedet har maskinerne ifølge Avast kunne fikses ved at installere en ny, malware-fri udgave af CCleaner hen over den trælse version.
Talos har anbefalet en geninstallering eller en gendannelse af et inficeret system til en tilstand fra før 15. august 2017.
Tech-virksomheder
Og det kan nok være en god idé at følge rådet fra Talos - ikke mindst hvis man sidder hos en high-tech-virksomhed.
Ciscos sikkerhedsfolk har nemlig i mellemtiden kigget på, hvad de vurderer er legitime data fra den command & control-server (C2), som malwaren i CCleaner har kontaktet. Malwaren har indsamlet oplysninger fra de inficerede systemer og sendt dem retur til C2-systemet.
Såfremt de indsamlede oplysninger lever op til nogle specifikke parametre, så er der blevet udsendt yderligere malware til det inficerede system, den såkaldte secondary payload.
I data fra C2-serveren er sikkerhedsfolkene hos Talos blandt andet stødt på en liste over store teknologivirksomheder. Herunder Microsoft, Intel, Sony og Cisco selv.
Det får Talos til at konkludere, at aktøren bag angrebet er gået målrettet efter teknologivirksomhederne, og at denne aktør er ude efter værdifuld intellektuel ejendom.
Talos kan også oplyse, at den specialiserede ekstra-malware i mindst 20 tilfælde er blevet sendt ud til inficerede systemer. Talos-folkene bygger det udsagn på data fra C2-serveren over en periode på fire dage i september. Derfor forbeholdet med de 'mindst 20'.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
