Sites Web WordPress touchés par de faux ransomwares

Les chercheurs travaillant avec Sucuri ont repéré une campagne malveillante inhabituelle et légèrement amusante. Un certain nombre de pages WordPress ont été touchées par ce qui ne ressemble que visuellement à un ransomware.

Le propriétaire de WordPress se trouve face à une page alarmante affichant un écran noir vierge avec du texte en gras rouge dessus, l'informant que son site a été crypté. Ce faux message est accompagné de l'élément le plus convaincant que l'on trouve également très souvent dans les ransomwares légitimes : un chronomètre qui s'écoule.

Les victimes de cette attaque inhabituelle qui a très peu à voir avec un ransomware à part le message effrayant doivent payer 0,1 Bitcoin, soit à peu près l'équivalent d'un peu moins de 6 000 $ en utilisant le taux de change d'aujourd'hui. Le texte indique que les mauvais acteurs attendent le paiement crypto sur le portefeuille donné "pour restauration".

Heureusement pour toute personne touchée par cette attaque étrange, cet écran est plutôt un écran de fumée destiné à semer la confusion et à effrayer la victime pour qu'elle joue le jeu.

Sucuri a fait des recherches sur l'attaque après qu'un propriétaire de site WordPress l'a contacté lorsqu'il a reçu le message alarmant. La page affichant le compteur s'est avérée être un simple fichier HTML. L'équipe de recherche a qualifié le code utilisé dans le code HTML pour générer le message effrayant de "très simple". Le compte à rebours n'est pas non plus lié à un vrai ransomware et ne comprend que quelques dizaines de lignes de code PHP.

Tout ce qu'il a fallu à l'équipe de sécurité pour nettoyer le site de la fausse "infection" et le remettre en état de fonctionnement était de supprimer un mauvais plugin qui a généré l'avis de ransomware effrayant mais faux. Cependant, au fur et à mesure que le plugin a été supprimé, il a exécuté une commande SQL qui a parcouru l'intégralité des articles du site WordPress et a marqué tous les articles « publiés » comme « nuls », provoquant des erreurs 404 et des articles manquants.

Ce dernier cadeau d'adieu de l'étrange campagne malveillante était tout aussi inefficace car il était réversible avec une seule ligne de SQL et tous les articles pouvaient être restaurés en un clin d'œil.

Il semble que les acteurs de la menace comprennent lentement que vous n'avez pas besoin de coder des charges utiles complexes, de configurer ou de mettre en place une infrastructure de ransomware réelle alors qu'une simple alerte peut être tout aussi efficace la plupart du temps. L'ingénierie sociale repose sur la peur et la pression et étant donné la somme modique demandée dans la demande de rançon, il est difficile de dire combien de sites Web ont réellement cédé et payé le 0,1 Bitcoin.