WordPress-Websites von gefälschter Ransomware betroffen

wordpress ransomware

Forscher, die mit Sucuri zusammenarbeiteten, entdeckten eine ungewöhnliche und etwas lustige bösartige Kampagne. Eine Reihe von WordPress-Seiten wurden mit etwas befallen, das nur optisch wie Ransomware aussieht.

Dem WordPress-Besitzer wird eine alarmierende Seite mit einem leeren, schwarzen Bildschirm mit fettem rotem Text angezeigt, der ihn darüber informiert, dass seine Website verschlüsselt wurde. Diese gefälschte Nachricht wird von dem überzeugendsten Element begleitet, das auch sehr oft in legitimer Ransomware zu finden ist – einem ablaufenden Timer.

Opfer dieses ungewöhnlichen Angriffs, der abgesehen von der beängstigenden Nachricht nur sehr wenig mit Ransomware zu tun hat, werden aufgefordert, 0,1 Bitcoin oder ungefähr den Gegenwert von knapp 6.000 US-Dollar zum heutigen Wechselkurs zu zahlen. Der Text besagt, dass die böswilligen Akteure die Krypto-Zahlung auf dem angegebenen Wallet "zur Wiederherstellung" erwarten.

Zum Glück für alle, die von diesem seltsamen Angriff betroffen sind, ist dieser Bildschirm eher eine Nebelwand, die das Opfer verwirren und erschrecken soll, damit es mitspielt.

Sucuri untersuchte den Angriff, nachdem ein WordPress-Site-Besitzer sie kontaktiert hatte, als sie die alarmierende Nachricht erhielten. Die Seite mit dem Zähler stellte sich als einfache HTML-Datei heraus. Das Forschungsteam nannte den Code, der im HTML verwendet wird, um die beängstigende Nachricht zu generieren, "sehr einfach". Der Countdown-Timer ist auch nicht an eine echte Ransomware gebunden und besteht nur aus ein paar Dutzend Zeilen PHP-Code.

Alles, was das Sicherheitsteam brauchte, um die Website von der gefälschten "Infektion" zu befreien und wieder funktionsfähig zu machen, war das Entfernen eines schlechten Plugins, das die beängstigende, aber gefälschte Ransomware-Benachrichtigung generierte. Als das Plugin jedoch entfernt wurde, führte es einen SQL-Befehl aus, der die gesamten Artikel der WordPress-Site durchging und alle "veröffentlichten" als "null" markierte, was 404-Fehler und fehlende Artikel verursachte.

Dieses letzte Abschiedsgeschenk der seltsamen bösartigen Kampagne war ebenso ineffektiv, da es mit einer einzigen SQL-Zeile umkehrbar war und alle Artikel im Handumdrehen wiederhergestellt werden konnten.

Es scheint, dass Bedrohungsakteure langsam herausfinden, dass Sie keine komplexen Payloads codieren, keine Ransomware-Infrastruktur konfigurieren oder einrichten müssen, wenn ein einfacher Schrecken die meiste Zeit genauso effektiv sein kann. Social Engineering beruht auf Angst und Druck und angesichts der bescheidenen Summe, die in der Lösegeldforderung verlangt wird, ist es schwer zu sagen, wie viele Websites tatsächlich nachgegeben und die 0,1 Bitcoin bezahlt haben.

November 18, 2021