WordPress-nettsteder truffet av falsk ransomware

wordpress ransomware

Forskere som jobbet med Sucuri oppdaget en uvanlig og litt morsom ondsinnet kampanje. En rekke WordPress-sider har blitt rammet av noe som kun visuelt ser ut som løsepengevare.

WordPress-eieren blir møtt med en alarmerende side som viser en tom, svart skjerm med fet rød tekst på, som informerer dem om at nettstedet deres er kryptert. Denne falske meldingen er ledsaget av det mest overbevisende elementet som også finnes i legitim løsepengevare veldig ofte - en tidtaker som tikker ned.

Ofre for dette uvanlige angrepet som har veldig lite med løsepengevare å gjøre bortsett fra den skumle meldingen, blir bedt om å betale 0,1 Bitcoin eller omtrent tilsvarende i underkant av $6000 med dagens valutakurs. Teksten sier at de dårlige skuespillerne forventer kryptobetalingen på den gitte lommeboken "for gjenoppretting".

Heldigvis for alle som er berørt av dette rare angrepet, er denne skjermen mer et røykteppe ment å forvirre og skremme offeret til å spille med.

Sucuri undersøkte angrepet etter at en eier av WordPress-nettstedet kontaktet dem da de fikk den alarmerende meldingen. Siden som viser telleren viste seg å være en enkel HTML-fil. Forskerteamet kalte koden som ble brukt i HTML-en for å generere den skumle meldingen "veldig enkel". Nedtellingstidtakeren er heller ikke knyttet til noen ekte løsepengevare og er bare et par dusin linjer med PHP-kode.

Alt som skulle til for at sikkerhetsteamet skulle skylle nettstedet rent for den falske "infeksjonen" og gjenopprette den til fungerende stand, var å fjerne en dårlig plugin som genererte den skumle, men falske løsepengevaremeldingen. Etter hvert som plugin-en ble fjernet, utførte den imidlertid en SQL-kommando som gikk gjennom hele WordPress-nettstedets artikler og flagget alle "publiserte" som "null", noe som forårsaket 404-feil og manglende artikler.

Denne siste avskjedsgaven fra den rare ondsinnede kampanjen var like ineffektiv fordi den var reversibel med en enkelt linje med SQL og alle artiklene kunne gjenopprettes på et blunk.

Det ser ut til at trusselaktører sakte finner ut at du ikke trenger å kode komplekse nyttelaster, konfigurere eller sette opp faktisk løsepengevareinfrastruktur når en enkel skrekk kan være like effektiv mye av tiden. Sosial ingeniørkunst er avhengig av frykt og press, og gitt den beskjedne summen som ble spurt i løsepengenotatet, er det vanskelig å si hvor mange nettsteder som faktisk falt inn og betalte 0,1 Bitcoin.

November 18, 2021