Internationale Ermittler haben fast 15.000 infizierte WordPress-Blogs von der Malware "SocGholish" bereinigt und die zugrunde liegende Botnet-Infrastrukturen vom Netz genommen. Das kriminelle Netzwerk wurde von der in Russland angesiedelten Cyber-Kriminellengruppe "Evil Corp" betrieben.
Die Information ist mir die Tage in diversen Tweets wie nachfolgend untergekommen. Internationale Strafverfolgungsbehörden haben im Rahmen der Operation "Endgame" eine groß angelegte SocGholish-Infektionskette unterbunden.
Die Cyberkriminellen habe WordPress-Instanzen kleiner Firmen und Vereine gehackt und dann Fake-Updates mit Malware verbreitet. Im Rahmen der Operation haben die Strafverfolger 14.971 infizierte WordPress-Websites bereinigt und weltweit 106 Server und Domains stillgelegt. SocGholish, auch bekannt als "FakeUpdates", steht in Verbindung mit der Cybergruppe Evil Corp. Die Malware wird häufig genutzt, um sich einen ersten Zugriff auf Systeme zu verschaffen, bevor weitere Malware, darunter auch Ransomware, eingesetzt wird.
Betreiber von WordPress-Websites werden dringend aufgefordert, ihre Passwörter zu ändern, die Zwei-Faktor-Authentifizierung (MFA) zu aktivieren, unbekannte Administratorkonten zu entfernen und ihre Websites auf dem neuesten Stand zu halten – insbesondere nachdem die Polizei geleakte Zugangsdaten identifiziert hat, die mit 1,4 Millionen Websites in Verbindung stehen, heißt es in obigem Post.
ProofPoint hat in diesem Beitrag über die Operation berichtet, deutschsprachige Beiträge finden sich bei Caschy und bei heise.
MVP: 2013 – 2016
