Door DNS-gegevens te wijzigen hebben criminelen via malicieuze subdomeinen op bij GoDaddy gehoste sites ransomware verspreid.

Hackers zijn er in geslaagd om DNS-gegevens van sites die worden gehost bij de grote Amerikaanse hoster GoDaddy aan te passen. Vervolgens hebben ze sites verwezen naar exploits die als doel hebben om ransomware op de computers van slachtoffers te installeren, meldt anti-virusbedrijf Sophos. DNS is te zien als het telefoonboek van het internet en koppelt host names en domeinnamen aan ip-adressen.
Subdomeinen

Hoe de aanvallers de gegevens van domainnameservers bij GoDaddy wisten te wijzigen is nog onduidelijk. Tijdens de aanval voegden ze subdomeinen toe aan de A-records van de DNS-entries. Die subdomeinen verwijzen naar malicieuze ip-adressen van servers waarop allerlei exploits worden misbruikt.

Met de subdomeinen wilden de aanvallers detectie door beveiligingsfilters omzeilen en bezoekers laten denken dat ze zich op de echte sites bevinden. De exploits, onder meer lekken in Adobe Reader en Java, zijn ingezet om ransomware te verspreiden, stelt Fraser Howard van Sophos.
Storing

In september was GoDaddy ook al negatief in het nieuws, toen het door eigen fouten onderuit ging. Destijds was er geen sprake van een hack, maar werd het offline gaan van het hostingbedrijf en al zijn sites van klanten veroorzaakt door 'gecorrumpeerde data-tabellen van routers'.
Ransomware

Ransomware zet bestanden op slot, waarna slachtoffers om geld wordt gevraagd, anders worden ze gewist. Er zijn dit jaar diverse misleidende varianten opgedoken van ransomware. Op naam van onder meer de politie, Buma/Stemra en een Formule 1-website werd malware verstuurd.