Sites WordPress atingidos por Fake Ransomware

wordpress ransomware

Os pesquisadores que trabalharam com a Sucuri descobriram uma campanha mal-intencionada incomum e ligeiramente engraçada. Várias páginas do WordPress foram atingidas com o que apenas visualmente se parece com ransomware.

O proprietário do WordPress se depara com uma página alarmante que mostra uma tela preta em branco com um texto vermelho em negrito, informando que o site foi criptografado. Essa mensagem falsa é acompanhada pelo elemento mais convincente que também é encontrado em ransomware legítimo com muita frequência - um cronômetro passando.

Vítimas desse ataque incomum que tem muito pouco a ver com ransomware além da mensagem assustadora são instruídas a pagar 0,1 Bitcoin ou aproximadamente o equivalente a pouco menos de $ 6.000 usando a taxa de câmbio de hoje. O texto diz que os malfeitores esperam o pagamento criptográfico na carteira fornecida "para restauração".

Felizmente para qualquer pessoa afetada por este ataque estranho, esta tela é mais uma cortina de fumaça destinada a confundir e assustar a vítima e fazê-la brincar.

A Sucuri pesquisou o ataque depois que o proprietário de um site WordPress os contatou ao receber a mensagem alarmante. A página que exibia o contador era um arquivo HTML simples. A equipe de pesquisa chamou o código usado no HTML para gerar a mensagem assustadora de "muito simples". O cronômetro de contagem regressiva não está vinculado a nenhum ransomware real e consiste apenas em algumas dezenas de linhas de código PHP.

Tudo o que a equipe de segurança precisou para limpar o site da falsa "infecção" e restaurá-lo para funcionar foi remover um plug-in inválido que gerou o aviso de ransomware assustador, mas falso. No entanto, quando o plugin foi removido, ele executou um comando SQL que percorreu todos os artigos do site WordPress e sinalizou todos os "publicados" como "nulos", causando erros 404 e artigos ausentes.

O último presente de despedida da estranha campanha maliciosa foi igualmente ineficaz porque era reversível com uma única linha de SQL e todos os artigos podiam ser restaurados em um piscar de olhos.

Parece que os agentes de ameaças estão lentamente descobrindo que você não precisa codificar cargas complexas, configurar ou definir a infraestrutura de ransomware real quando um simples susto pode ser tão eficaz na maioria das vezes. A engenharia social depende do medo e da pressão e, dada a modesta quantia solicitada na nota de resgate, é difícil dizer quantos sites realmente desabaram e pagaram o 0,1 Bitcoin.

November 18, 2021