Witryny WordPress trafione przez fałszywe oprogramowanie ransomware
Badacze współpracujący z Sucuri zauważyli niezwykłą i nieco zabawną złośliwą kampanię. Wiele stron WordPress zostało dotkniętych tym, co tylko wizualnie wygląda jak oprogramowanie ransomware.
Właściciel WordPressa spotyka się z niepokojącą stroną pokazującą pusty, czarny ekran z pogrubionym czerwonym tekstem, informującym go, że jego strona została zaszyfrowana. Tej fałszywej wiadomości towarzyszy najbardziej przekonujący element, który bardzo często występuje również w legalnym oprogramowaniu ransomware – odliczanie czasu.
Ofiarom tego niezwykłego ataku, który ma niewiele wspólnego z oprogramowaniem ransomware poza przerażającą wiadomością, kazano zapłacić 0,1 Bitcoina lub mniej więcej równowartość nieco poniżej 6000 USD przy użyciu dzisiejszego kursu wymiany. Tekst mówi, że źli aktorzy oczekują płatności kryptograficznej na dany portfel „w celu przywrócenia”.
Na szczęście dla każdego, kto został dotknięty tym dziwnym atakiem, ten ekran jest bardziej zasłoną dymną mającą na celu zmylenie i przestraszenie ofiary, aby zaczęła grać.
Sucuri zbadało atak po tym, jak właściciel witryny WordPress skontaktował się z nimi, gdy otrzymał alarmującą wiadomość. Strona wyświetlająca licznik okazała się prostym plikiem HTML. Zespół badawczy nazwał kod używany w HTML do generowania przerażającej wiadomości „bardzo prostym”. Licznik czasu nie jest również powiązany z żadnym prawdziwym oprogramowaniem ransomware i to tylko kilkadziesiąt linijek kodu PHP.
Aby zespół ds. bezpieczeństwa oczyścił witrynę z fałszywej „infekcji” i przywrócił ją do działania, wystarczyło usunąć niewłaściwą wtyczkę, która wygenerowała przerażające, ale fałszywe powiadomienie o ransomware. Jednak po usunięciu wtyczki wykonała polecenie SQL, które przeszło przez wszystkie artykuły w witrynie WordPress i oznaczyło wszystkie „opublikowane” jako „null”, powodując błędy 404 i brakujące artykuły.
Ten ostatni pożegnalny prezent od dziwnej złośliwej kampanii był równie nieskuteczny, ponieważ można go było cofnąć za pomocą jednej linii SQL, a wszystkie artykuły można było przywrócić w mgnieniu oka.
Wygląda na to, że cyberprzestępcy powoli zaczynają dochodzić do wniosku, że nie trzeba kodować skomplikowanych ładunków, konfigurować ani konfigurować rzeczywistej infrastruktury oprogramowania ransomware, podczas gdy zwykłe zastraszanie może być równie skuteczne przez większość czasu. Inżynieria społeczna opiera się na strachu i presji, a biorąc pod uwagę skromną sumę wymaganą w nocie z żądaniem okupu, trudno powiedzieć, ile stron internetowych faktycznie ugięło się i zapłaciło 0,1 Bitcoina.
