urpl.gov.pl rozsiewa ransomware – kolejna rządowa witryna zainfekowana
W styczniu pisaliśmy o zaawansowanym ataku typu APT na polski sektor bankowy, który rozpoczął się od zainfekowania infrastruktury Komisji Nadzoru Finansowego. Ta miała stać na straży bezpieczeństwa polskich finansów, a sama dystrybuowała szkodliwe oprogramowanie. Niestety, nie jest to przypadek odosobniony.
Zaufana Trzecia Strona informuje o kolejnej rządowej witrynie, która rozsiewa szkodliwe oprogramowanie. I nie chodzi tu o dystrybucję w sieciach wewnętrznych, ale o faktyczne zagrożenie dla użytkowników odwiedzających witrynę Urzędu Rejestracji Produktów Leczniczych. Wizyta na www.urpl.gov.pl może się bowiem skończyć infekcją ransomware i zaszyfrowaniem dysku.
Narażeni są użytkownicy, których przeglądarka internetowa przedstawia się jako Internet Explorer. Osadzona na stronie pływająca ramka wyświetlała skrypt, który z kolei wczytuje flashową animację i to właśnie ona pobierała ransomware Cerber. Skutki nie są zatem katastrofalne – animacje flash w przypadku wiodących przeglądarek są już domyślnie blokowane. Problem tkwi jednak w tym, że do infekcji mogło dojść na wielu przestarzałych komputerach z Windowsem XP, jakimi dysponuje służba zdrowia.
Do sprawy ustosunkowali się sami przedstawiciele urzędu, którzy poinformowali, że przeprowadzany jest audyt bezpieczeństwa. Deklarują oni także, że jak dotąd nie wpłynęły do nich żadne informacje o infekcjach i zaszyfrowaniu dysków dla okupu z wykorzystaniem pobranego z rządowych stron ransomware Cerber. Mimo to witryna urpl.gov.pl wciąż jest dostępna.