虛假勒索軟件攻擊了WordPress網站
數百個WordPress網站都被貼上了假的黑底紅字的警告,警告它們已被加密。
這些警告中的贖金要求帶有倒數計時器,以引起緊迫感,試圖使網絡管理員在驚慌中迅速支付贖金:倒計時時鐘滴答作響,警告網站所有者他們有7天10小時21分9秒來支付 0.1比特幣–在這個帖子發布時價值大約6,000美元–在文件被加密并在無法恢復之前。
對于開源內容管理系統(CMS)的任何小型用戶來說,這都是一筆很大的費用:“至少可以說,對于普通的網站所有者來說,這不是一筆小的數目。”Sucuri安全分析師Ben Martin在周二的一篇文章中寫道。
Sucuri在周五首次注意到這些宛如吸血鬼電影中的場景一樣的黑底紅字警告。它一開始增加得非常緩慢,然后速度逐漸開始增長:上周在Google搜索時只找到了六條贖金要求的結果——“FOR RESTORE SEND 0.1 BITCOIN”。當網站安全服務提供商周二報告其調查結果時,點擊次數已經高達291次。
尖利的、宛如用鮮血書寫的、全大寫的消息:
發送0.1比特幣以恢復加密的站點:[地址已編輯]
(在站點/unlock.txt上創建包含交易密鑰的文件)
幸運的是,在支付高額的比特幣之前,至少有一位網站管理員向Sucuri報告了“勒索軟件”警告。
滴答,滴答......
該警告顯然是在通過倒計時來灌輸緊迫感,進而成功的刺激受害者的腎上腺素飆升。無論是在羅曼蒂克式愛情詐騙手段、用于提升憑證的虛假亞馬遜包裹遞送通知還是其他諸如此類的騙局,它們都是騙子工具包中最常用和最有效的工具。
但是Sucuri的研究人員追蹤并分析了這些假勒索軟件,他們聲稱什么也沒發現。在對包含比特幣地址的文件進行現場掃描時,他們發現虛假勒索軟件警報只是一個由虛假插件生成的簡單HTML頁面“./wp-content/plugins/directorist/directorist-base./wp-content/plugins/directorist/directorist-base. php”。
他們分享了一個屏幕截圖,如下所示,顯示了用于生成贖金消息的“非常基本的HTML”:
至于倒數計時器,它是由基本的PHP生成的,如下所示。Martin寫道,可以編輯日期“以在請求中注入更多恐慌”。“請記住,關于網絡釣魚等網絡詐騙的第一條規則是向受害者灌輸緊迫感!”
清除感染
消除感染很容易:“我們所要做的就是從wp-content/plugins目錄中刪除插件,”Martin說。然而,一旦他們返回主網站頁面,研究人員發現該網站的所有頁面和帖子都會導致“404 Not Found”消息。
根據Sucuri的帖子,它包含一個基本的SQL命令,可以找到任何狀態為“publish”的帖子和頁面,并將它們更改為“null”。這些內容仍然在數據庫中,但無法查看。
同樣地,撤消很容易:“這可以用同樣簡單的SQL命令來逆轉,”Sucuri說。即:
- UPDATE `wp_posts` SET `post_status` = ‘publish’ WHERE `post_status` = ‘null’;
“這將公開數據庫中標記為null的任何內容。”Martin寫道。“如果您將其他內容標記為此類,它會重新發布該內容,但這肯定比丟失所有網站帖子和頁面要好。”
Sucuri指出,惡意插件確實有一個文件./wp-content/plugins/directorist/azz_encrypt.php,看起來它可能用于文件加密,但研究人員沒有在他們分析的任何感染中看到該文件,至少目前還沒有。
是誰實施了此次攻擊?
Sucuri的客戶端位于美國南部,但其站點的訪問日志顯示,來自一個外國IP地址的多個請求使用wp-admin的插件編輯器功能與惡意插件交互。“這表明合法插件已經安裝在網站上,后來被攻擊者篡改,”Sucuri說。
“有趣的是,我們從攻擊者IP地址看到的第一個請求來自wp-admin面板,這表明他們在開始之前就已經建立了對網站的管理員訪問權限,”馬丁說。“他們是否使用另一個IP地址強行輸入了管理員密碼,或者是從黑市獲得了已經泄露的登錄信息,這誰也說不準。”
當恐懼產生作用,誰還會在意勒索軟件?
您可以看到它的特點,即:跳過創建真實、實時勒索軟件的棘手任務,直接戳中您內心的恐懼。Stealthbits-現在是Netwrix的一部分-的技術產品經理Dan Piazza告訴Threatpost,在真實勒索軟件攻擊逐年增加之后,虛假勒索軟件攻擊的出現并不奇怪,“特別是考慮到這些虛假攻擊非常簡便省事,”他說,“技術水平較低的攻擊者可以利用對勒索軟件日益增長的恐懼,并試圖通過簡單的黑客攻擊而不是開發完善且復雜的勒索軟件獲利。”
Blue Hexagon的首席技術官兼聯合創始人Saumitra Das稱這是一種對勒索受害者的有趣常識——“對于害怕失去業務的網站所有者來說,這可能會成功”。
“鑒于備份技術及其采用在過去幾年中有所改善,勒索軟件參與者正在勒索而不是加密方面進行創新,”Das指出,“這只是勒索創新的另一個例子。攻擊者不僅在加密,而且還在點名羞辱品牌、泄露數據、威脅高管和用戶。”
即使是虛假勒索軟件也顯示出一些漏洞
Piazza告訴Threatpost,這次攻擊是假的這件事本身并不重要。事實是,這些WordPress網站確實是通過其最有特權的攻擊點——“a WordPress Admin”而遭到入侵,他通過電子郵件說。
“如果攻擊者想要部署真正的勒索軟件,那么他們實際上已經掌握了進入王國的鑰匙,”Piazza說。
為了對真正的勒索軟件保持警惕,Piazza建議管理員確保他們的站點運行CMS、使用的任何插件以及他們在源代碼中實現的任何庫或框架都是最新的版本。
“修補過的0day漏洞仍然是攻擊者的一大目標,因為許多網站仍然使用舊版本的軟件,”他指出。
“訪問管理也是必不可少的,以限制特權管理員的數量甚至這些管理員的生命周期,”Piazza繼續說道。“特權訪問管理軟件可以在這里提供幫助,通過提供即時權限甚至僅在需要時才存在的管理員帳戶。”
他說,定時備份也是必須的。“如果備份與網站服務器完全分開存儲,那么在受到攻擊時很容易恢復并運行。”
他還建議對所有特權憑據使用多因素身份驗證(MFA),并指出Microsoft的一份報告稱,MFA可以阻止超過99.9%的帳戶入侵攻擊。
本文翻譯自:https://threatpost.com/fake-ransomware-infection-wordpress/176410/如若轉載,請注明原文地址。
