Siti Web WordPress colpiti da un falso ransomware

wordpress ransomware

I ricercatori che lavorano con Sucuri hanno individuato una campagna malevola insolita e leggermente divertente. Un certo numero di pagine di WordPress sono state colpite da ciò che solo visivamente sembra un ransomware.

Il proprietario di WordPress incontra una pagina allarmante che mostra uno schermo vuoto e nero con testo rosso in grassetto, che lo informa che il suo sito è stato crittografato. Questo falso messaggio è accompagnato dall'elemento più convincente che si trova molto spesso anche nei ransomware legittimi: un timer che scorre.

Alle vittime di questo insolito attacco che ha ben poco a che fare con il ransomware, a parte il messaggio spaventoso, viene detto di pagare 0,1 Bitcoin o all'incirca l'equivalente di poco meno di $ 6.000 utilizzando il tasso di cambio odierno. Il testo dice che i cattivi attori si aspettano il pagamento crittografico sul portafoglio dato "per il ripristino".

Per fortuna per chiunque sia stato colpito da questo strano attacco, questo schermo è più una cortina fumogena intesa a confondere e spaventare la vittima e spingerla a stare al gioco.

Sucuri ha studiato l'attacco dopo che il proprietario di un sito WordPress li ha contattati quando hanno ricevuto il messaggio allarmante. La pagina che mostra il contatore si è rivelata un semplice file HTML. Il team di ricerca ha definito il codice utilizzato nell'HTML per generare il messaggio spaventoso "molto semplice". Il conto alla rovescia non è nemmeno legato a nessun ransomware reale ed è solo una dozzina di righe di codice PHP.

Tutto ciò che è servito al team di sicurezza per ripulire il sito dalla falsa "infezione" e ripristinarlo in modo funzionante è stato rimuovere un plug-in non valido che ha generato l'avviso di ransomware spaventoso ma falso. Tuttavia, quando il plugin è stato rimosso, ha eseguito un comando SQL che ha esaminato tutti gli articoli del sito WordPress e ha contrassegnato quelli "pubblicati" come "null", causando errori 404 e articoli mancanti.

Quest'ultimo regalo d'addio dalla strana campagna malevola era ugualmente inefficace perché era reversibile con una singola riga di SQL e tutti gli articoli potevano essere ripristinati in un attimo.

Sembra che gli attori delle minacce stiano lentamente capendo che non è necessario codificare payload complessi, configurare o impostare un'infrastruttura ransomware reale quando un semplice spavento può essere altrettanto efficace per la maggior parte del tempo. L'ingegneria sociale si basa sulla paura e sulla pressione e, data la modesta somma richiesta nella richiesta di riscatto, è difficile dire quanti siti web abbiano effettivamente ceduto e pagato 0,1 Bitcoin.

November 18, 2021