De acuerdo con la empresa de seguridad Heimdal Security, la inyección de scripts maliciosos que redirigen al usuario de Internet hacia el kit de explotación Neutrino ha aumentado en sitios web legítimos.
La mayoría de los sitios web afectados por esta inyección son sitios basados en sistemas CMS (Content Management System) desactualizados o que estando actualizados utilizan complementos o plugins desactualizados.
Los sitios web más atacados son aquellos que están basados en WordPress. Existen casi un billón de sitios con el CMS de WordPress, de los cuales se estima que aproximadamente 142 millones de sitios pueden estar comprometidos. Más del 20% de los sitios web basados en WordPress utilizan una versión desactualizada del mismo.
Se estima que cada mes más de 409 millones de personas leen blogs de sitios web basados en WordPress, de ahí que el número de potenciales víctimas de ransomware por Neutrino podría ser alto. Esto sólo para sitios web basados en WordPress. El número aumenta tomando en cuenta que el ataque es dirigido a sitios web basados en otros sistemas CMS.
Los sitios web actualizados también son vulnerables al ataque de inyección si tienen plugins desactualizados o por la falta de una configuración adecuada de seguridad.
Típicamente el script malicioso inyectado en el sitio web legítimo apunta a otro dominio, que puede ser un anuncio publicitario, el que a su vez redirecciona el tráfico hacia el kit de explotación Neutrino. Entonces Neutrino infecta al sistema víctima con una variante del troyano ransomware Teslacrypt, explotando vulnerabilidades en Adobe Flash Player, Internet Explorer y Adobe Reader/Acrobat.
Teslacrypt cifra los archivos de datos del sistema víctima y exige el pago de dinero en Bitcoins por su descifrado y rescate. El ransomware borra las copias existentes de los archivos de datos cifrados para evitar su recuperación por el usuario objeto de la extorsión.
Es recomendable mantener actualizados el sistema operativo, navegador web y las aplicaciones como las mencionadas para mitigar ataques por vulnerabilidades no corregidas y para las cuales ya hay parche de seguridad del fabricante.
Mantener actualizado el software antivirus y complementar con el uso de software anti-exploit como Malwarebytes Anti-Exploit o EMET de Microsoft para mitigar la explotación de vulnerabilidades del navegador y aplicaciones como las mencionadas.
Los administradores de sitios web basados en sistemas CMS deben mantener actualizados tales sistemas, incluyendo los plugins que se utilicen, así como implementar una configuración de seguridad adecuada para el sitio web cuidando no sólo la protección del sitio sino la de sus usuarios y visitantes.