偽のランサムウェアに見舞われたWordPressWebサイト

wordpress ransomware

Sucuriと協力している研究者は、珍しくて少し面白い悪意のあるキャンペーンを発見しました。多くのWordPressページが、見た目だけがランサムウェアのように見えるものに見舞われています。

WordPressの所有者は、サイトが暗号化されていることを通知する、太字の赤いテキストが表示された空白の黒い画面を表示する警告ページに遭遇します。この偽のメッセージには、正当なランサムウェアにも頻繁に見られる最も説得力のある要素が付随しています。タイマーが刻々と過ぎます。

恐ろしいメッセージを除けばランサムウェアとはほとんど関係のないこの異常な攻撃の犠牲者は、今日の為替レートを使用して0.1ビットコインまたはおよそ6,000ドル弱に相当する金額を支払うように言われています。テキストは、悪意のある人物が「復元のために」特定のウォレットでの暗号支払いを期待していると述べています。

この奇妙な攻撃の影響を受けた人のおかげで、この画面は、犠牲者を混乱させて一緒に遊ぶことを怖がらせることを目的とした煙幕のようなものです。

Sucuriは、WordPressサイトの所有者が警告メッセージを受け取ったときに連絡した後、攻撃を調査しました。カウンターを表示しているページは、単純なHTMLファイルであることが判明しました。研究チームは、HTMLで使用されているコードを呼び出して、恐ろしいメッセージを「非常に単純」に生成しました。カウントダウンタイマーは実際のランサムウェアにも関連付けられておらず、数十行のPHPコードです。

セキュリティチームがサイトをフラッシュして偽の「感染」を取り除き、正常に機能するように復元するために必要なのは、恐ろしいが偽のランサムウェア通知を生成した不正なプラグインを削除することだけでした。ただし、プラグインが削除されると、WordPressサイトの記事全体を処理するSQLコマンドが実行され、「公開された」ものには「null」のフラグが付けられ、404エラーと記事の欠落が発生しました。

奇妙な悪意のあるキャンペーンからのこの最後の別れの贈り物は、SQLの1行で元に戻せ、すべての記事をすぐに復元できるため、同様に効果がありませんでした。

単純な恐怖が多くの場合同じように効果的である場合、脅威の攻撃者は、複雑なペイロードをコーディングしたり、実際のランサムウェアインフラストラクチャを構成または設定したりする必要がないことをゆっくりと理解しているようです。ソーシャルエンジニアリングは恐怖と圧力に依存しており、身代金メモで尋ねられた適度な金額を考えると、実際にいくつのWebサイトが陥没して0.1ビットコインを支払ったかを知ることは困難です。

November 18, 2021