WordPress-websites getroffen door nep-ransomware
Onderzoekers die met Sucuri samenwerkten, ontdekten een ongebruikelijke en enigszins grappige kwaadaardige campagne. Een aantal WordPress-pagina's is getroffen door wat alleen visueel op ransomware lijkt.
De WordPress-eigenaar krijgt een alarmerende pagina te zien met een leeg, zwart scherm met vetgedrukte rode tekst erop, met de mededeling dat hun site is gecodeerd. Dit nepbericht gaat vergezeld van het meest overtuigende element dat ook vaak wordt aangetroffen in legitieme ransomware: een timer die aftikt.
Slachtoffers van deze ongebruikelijke aanval die weinig te maken heeft met ransomware, afgezien van de enge boodschap, wordt verteld om 0,1 Bitcoin te betalen of ongeveer het equivalent van iets minder dan $ 6.000 met de huidige wisselkoers. De tekst zegt dat de slechte acteurs de crypto-betaling op de gegeven portemonnee "voor herstel" verwachten.
Gelukkig voor iedereen die door deze vreemde aanval is getroffen, is dit scherm meer een rookgordijn dat bedoeld is om het slachtoffer te verwarren en bang te maken om mee te spelen.
Sucuri deed onderzoek naar de aanval nadat een eigenaar van een WordPress-site contact met hen had opgenomen toen ze het alarmerende bericht kregen. De pagina met de teller bleek een eenvoudig HTML-bestand te zijn. Het onderzoeksteam noemde de code die in de HTML werd gebruikt om het enge bericht te genereren "heel eenvoudig". De countdown-timer is ook niet gebonden aan echte ransomware en bestaat uit slechts een paar dozijn regels PHP-code.
Het enige dat het beveiligingsteam nodig had om de site schoon te spoelen van de valse "infectie" en deze weer werkend te krijgen, was het verwijderen van een slechte plug-in die de enge maar valse ransomware-melding genereerde. Toen de plug-in echter werd verwijderd, voerde het een SQL-opdracht uit die alle artikelen van de WordPress-site doorliep en alle "gepubliceerde" artikelen als "null" markeerde, waardoor 404-fouten en ontbrekende artikelen werden veroorzaakt.
Dit laatste afscheidsgeschenk van de vreemde kwaadaardige campagne was even ondoeltreffend omdat het omkeerbaar was met een enkele regel SQL en alle artikelen in een handomdraai konden worden hersteld.
Het lijkt erop dat dreigingsactoren er langzaamaan achter komen dat je geen complexe payloads hoeft te coderen, geen daadwerkelijke ransomware-infrastructuur hoeft te configureren of opzetten, terwijl een simpele schrik vaak net zo effectief kan zijn. Social engineering is gebaseerd op angst en druk en gezien het bescheiden bedrag dat in de losgeldbrief wordt gevraagd, is het moeilijk te zeggen hoeveel websites daadwerkelijk zijn ingestort en de 0,1 Bitcoin hebben betaald.
