Sitios web de WordPress afectados por ransomware falso

wordpress ransomware

Los investigadores que trabajan con Sucuri detectaron una campaña maliciosa inusual y ligeramente divertida. Varias páginas de WordPress han sido afectadas con lo que solo visualmente parece ransomware.

El propietario de WordPress se encuentra con una página alarmante que muestra una pantalla negra en blanco con texto rojo en negrita, informándole que su sitio ha sido encriptado. Este mensaje falso va acompañado del elemento más convincente que también se encuentra muy a menudo en el ransomware legítimo: un temporizador que se agota.

A las víctimas de este ataque inusual que tiene muy poco que ver con el ransomware, aparte del mensaje aterrador, se les dice que paguen 0.1 Bitcoin o aproximadamente el equivalente a poco menos de $ 6,000 usando el tipo de cambio actual. El texto dice que los malos actores esperan el pago criptográfico en la billetera dada "para restaurar".

Afortunadamente para cualquier persona afectada por este extraño ataque, esta pantalla es más una cortina de humo destinada a confundir y asustar a la víctima para que siga el juego.

Sucuri investigó el ataque después de que el propietario de un sitio de WordPress los contactara cuando recibieron el mensaje alarmante. La página que muestra el contador resultó ser un simple archivo HTML. El equipo de investigación calificó el código utilizado en el HTML para generar el mensaje aterrador como "muy simple". El temporizador de cuenta regresiva tampoco está vinculado a ningún ransomware real y es solo un par de docenas de líneas de código PHP.

Todo lo que necesitó el equipo de seguridad para limpiar el sitio de la "infección" falsa y restaurarlo para que funcione correctamente fue eliminar un complemento defectuoso que generó el aviso de ransomware aterrador pero falso. Sin embargo, cuando se eliminó el complemento, ejecutó un comando SQL que revisó la totalidad de los artículos del sitio de WordPress y marcó los "publicados" como "nulos", lo que provocó errores 404 y artículos faltantes.

Este último regalo de despedida de la extraña campaña maliciosa fue igualmente ineficaz porque era reversible con una sola línea de SQL y todos los artículos se podían restaurar en un instante.

Parece que los actores de amenazas están descubriendo lentamente que no es necesario codificar cargas útiles complejas, configurar o configurar una infraestructura de ransomware real cuando un simple susto puede ser igual de efectivo la mayor parte del tiempo. La ingeniería social se basa en el miedo y la presión y, dada la modesta suma que se pide en la nota de rescate, es difícil saber cuántos sitios web realmente cedieron y pagaron el 0.1 Bitcoin.

November 18, 2021