Ιστότοποι WordPress που χτυπήθηκαν από Fake Ransomware
Ερευνητές που συνεργάζονταν με τον Sucuri εντόπισαν μια ασυνήθιστη και ελαφρώς αστεία κακόβουλη εκστρατεία. Ορισμένες σελίδες WordPress έχουν χτυπηθεί με κάτι που μόνο οπτικά μοιάζει με ransomware.
Ο ιδιοκτήτης του WordPress συναντά μια ανησυχητική σελίδα που δείχνει μια κενή, μαύρη οθόνη με έντονο κόκκινο κείμενο πάνω της, που τον ενημερώνει ότι ο ιστότοπός τους έχει κρυπτογραφηθεί. Αυτό το ψεύτικο μήνυμα συνοδεύεται από το πιο πειστικό στοιχείο που βρίσκεται επίσης σε νόμιμα ransomware πολύ συχνά - ένα χρονόμετρο που χτυπά κάτω.
Τα θύματα αυτής της ασυνήθιστης επίθεσης που έχει πολύ μικρή σχέση με το ransomware εκτός από το τρομακτικό μήνυμα καλούνται να πληρώσουν 0,1 Bitcoin ή περίπου το ισοδύναμο μόλις κάτω από 6.000 $ χρησιμοποιώντας τη σημερινή συναλλαγματική ισοτιμία. Το κείμενο λέει ότι οι κακοί ηθοποιοί αναμένουν την πληρωμή κρυπτογράφησης στο συγκεκριμένο πορτοφόλι "για επαναφορά".
Ευτυχώς για όποιον επηρεάζεται από αυτή την παράξενη επίθεση, αυτή η οθόνη είναι περισσότερο ένα προπέτασμα καπνού που προορίζεται να μπερδέψει και να τρομάξει το θύμα να παίξει μαζί.
Η Sucuri ερεύνησε την επίθεση αφού ένας ιδιοκτήτης ιστότοπου WordPress επικοινώνησε μαζί τους όταν έλαβαν το ανησυχητικό μήνυμα. Η σελίδα που εμφανίζει τον μετρητή αποδείχθηκε ότι ήταν ένα απλό αρχείο HTML. Η ερευνητική ομάδα ονόμασε τον κώδικα που χρησιμοποιήθηκε στην HTML για τη δημιουργία του τρομακτικού μηνύματος "πολύ απλός". Το χρονόμετρο αντίστροφης μέτρησης δεν συνδέεται ούτε με κανένα πραγματικό ransomware και είναι μόνο μερικές ντουζίνες κώδικα PHP.
Το μόνο που χρειάστηκε για την ομάδα ασφαλείας για να καθαρίσει τον ιστότοπο από την ψεύτικη "μόλυνση" και να τον επαναφέρει σε κατάσταση λειτουργίας ήταν να αφαιρέσει ένα κακό plugin που δημιούργησε την τρομακτική αλλά ψεύτικη ειδοποίηση ransomware. Ωστόσο, καθώς το πρόσθετο καταργήθηκε, εκτέλεσε μια εντολή SQL που περιείχε το σύνολο των άρθρων του ιστότοπου WordPress και επισήμανε τυχόν "δημοσιευμένα" ως "null", προκαλώντας 404 σφάλματα και ελλείποντα άρθρα.
Αυτό το τελευταίο δώρο αποχωρισμού από την περίεργη κακόβουλη καμπάνια ήταν εξίσου αναποτελεσματική, επειδή ήταν αναστρέψιμη με μία μόνο γραμμή SQL και όλα τα άρθρα μπορούσαν να αποκατασταθούν σε μια στιγμή.
Φαίνεται ότι οι φορείς απειλών καταλαβαίνουν σιγά σιγά ότι δεν χρειάζεται να κωδικοποιείτε πολύπλοκα ωφέλιμα φορτία, να διαμορφώνετε ή να ρυθμίζετε την πραγματική υποδομή ransomware, όταν ένας απλός φόβος μπορεί να είναι εξίσου αποτελεσματικός πολλές φορές. Η κοινωνική μηχανική βασίζεται στον φόβο και την πίεση και με δεδομένο το μέτριο ποσό που ζητείται στο σημείωμα λύτρων, είναι δύσκολο να πούμε πόσοι ιστότοποι υπέκυψαν στην πραγματικότητα και πλήρωσαν το 0,1 Bitcoin.
