Веб-сайты WordPress поражены поддельными программами-вымогателями

wordpress ransomware

Исследователи, работающие с Sucuri, обнаружили необычную и немного забавную злонамеренную кампанию. Некоторые страницы WordPress были поражены тем, что только визуально выглядит как программа-вымогатель.

Владелец WordPress встречает тревожную страницу с пустым черным экраном с жирным красным текстом на нем, информирующим его о том, что их сайт был зашифрован. Это фальшивое сообщение сопровождается самым убедительным элементом, который также очень часто встречается в законных программах-вымогателях - таймером.

Жертвам этой необычной атаки, которая имеет мало общего с программами-вымогателями, кроме пугающего сообщения, предлагается заплатить 0,1 биткойна или примерно эквивалент чуть менее 6000 долларов по сегодняшнему обменному курсу. В тексте говорится, что злоумышленники ожидают крипто-платежа на данном кошельке «для восстановления».

К счастью для всех, кто пострадал от этой странной атаки, этот экран больше похож на дымовую завесу, предназначенную для того, чтобы запугать жертву и заставить ее подыгрывать.

Сукури исследовал атаку после того, как владелец сайта WordPress связался с ними, когда они получили тревожное сообщение. Страница со счетчиком оказалась простым HTML-файлом. Исследовательская группа назвала код, использованный в HTML для создания пугающего сообщения, «очень простым». Таймер обратного отсчета также не привязан к какой-либо реальной программе-вымогателю и представляет собой всего пару десятков строк кода PHP.

Все, что потребовалось команде безопасности, чтобы очистить сайт от поддельной «инфекции» и восстановить его работоспособность, - это удалить плохой плагин, который генерировал страшное, но поддельное уведомление о вымогательстве. Однако, когда плагин был удален, он выполнил команду SQL, которая прошла через все статьи сайта WordPress и пометила все «опубликованные» как «пустые», что вызвало ошибку 404 и пропущенные статьи.

Этот последний прощальный подарок странной злонамеренной кампании был столь же неэффективным, потому что его можно было исправить с помощью одной строки SQL, и все статьи можно было восстановить в мгновение ока.

Похоже, злоумышленники постепенно понимают, что вам не нужно кодировать сложные полезные данные, настраивать или настраивать фактическую инфраструктуру вымогателей, когда простая угроза может быть столь же эффективной в большинстве случаев. Социальная инженерия опирается на страх и давление, и, учитывая скромную сумму, запрошенную в записке о выкупе, трудно сказать, сколько веб-сайтов фактически уступили и заплатили 0,1 биткойна.

November 18, 2021