Des internautes sont infectés par des ransomwares sur des sites web hostés par Go Daddy suite au hack de ce dernier en septembre par des hackers qui n’ont toujours pas été identifiés.
Go Daddy le plus grand registraire de noms de domaine est dans une mauvaise période. Début septembre, le site du géant du web avait été hacké ce qui avait conduit à la mise hors ligne d’un nombre très important des sites web qu’il héberge.
Les hackers ont utilisé le système DNS pour discrètement infecter le plus d’internautes possible. Une des caractéristiques du système DNS est qu’il est peut être mis à jour très rapidement sans disruption pour l’utilisateur qui continue à utiliser le même nom de domaine pour accéder à un site en particulier.
Les cyber-criminels ont hacké les archives DNS des sites Internet hostés par Go Daddy en ajoutant des sous domaines pointant vers des adresses IP malveillantes.
Les sous domaines ajoutés pointent vers des serveurs malveillants.
L’emploi d’URLs qui semblent légitimes dans les attaques permet au cyber-criminels de se soustraire à certains filtres de sécurité et de faire croire aux internautes que le contenu du site qu’il visualise est sur.
Les sites Internet véreux liés à ces ransomwares utilisent un exploit kit très performant du nom de « Cool EK » qui est similaire au Blackhole exploit kit. Le ransomware est même personnalisé pour chaque pays en utilisant la Police du net correspondante et son logo afin de sembler légitime.
Ci-dessus, le ransomware auquel sera confronté un internaute britannique.
Dans un environnement où les attaques web deviennent de plus en plus fréquentes, tous les acteurs et mêmes les registraires doivent prendre des mesures de sécurité supplémentaires pour les contrer et assurer la sécurité des internautes.