当前位置:主页 > 新闻中心 >

虚假勒索软件攻击了 WordPress 网站

发布日期:2021-12-03 16:02   来源:未知   阅读:

  数百个 WordPress 网站都被贴上了假的黑底红字的警告,警告它们已被加密。

  这些警告中的赎金要求带有倒数计时器,以引起紧迫感,试图使网络管理员在惊慌中迅速支付赎金:倒计时时钟滴答作响,警告网站所有者他们有 7 天 10 小时 21 分 9 秒来支付 0.1 比特币–在这个帖子发布时价值大约 6,000 美元–在文件被加密并在无法恢复之前。

  对于开源内容管理系统(CMS)的任何小型用户来说,这都是一笔很大的费用: 至少可以说,对于普通的网站所有者来说,这不是一笔小的数目。Sucuri 安全分析师 Ben Martin 在周二的一篇文章中写道。

  Sucuri 在周五首次注意到这些宛如吸血鬼电影中的场景一样的黑底红字警告。它一开始增加得非常缓慢,然后速度逐渐开始增长:上周在 Google 搜索时只找到了六条赎金要求的结果—— FOR RESTORE SEND 0.1 BITCOIN。当网站安全服务提供商周二报告其调查结果时,点击次数已经高达 291 次。

  该警告显然是在通过倒计时来灌输紧迫感,进而成功的刺激受害者的肾上腺素飙升。无论是在罗曼蒂克式爱情诈骗手段、用于提升凭证的虚假亚马逊包裹递送通知还是其他诸如此类的骗局,它们都是骗子工具包中最常用和最有效的工具。

  他们分享了一个屏幕截图,如下所示,显示了用于生成赎金消息的 非常基本的 HTML:

  消除感染很容易: 我们所要做的就是从 wp-content/plugins 目录中删除插件,Martin 说。然而,一旦他们返回主网站页面,研究人员发现该网站的所有页面和帖子都会导致 404 Not Found 消息。

  根据 Sucuri 的帖子,它包含一个基本的 SQL 命令,可以找到任何状态为 publish 的帖子和页面,并将它们更改为 null。这些内容仍然在数据库中,但无法查看。

  同样地,撤消很容易: 这可以用同样简单的 SQL 命令来逆转,Sucuri 说。即:

  这将公开数据库中标记为 null 的任何内容。Martin 写道。 如果您将其他内容标记为此类,它会重新发布该内容,但这肯定比丢失所有网站帖子和页面要好。

  Sucuri 指出,恶意插件确实有一个文件 ./wp-content/plugins/directorist/azz_encrypt.php,看起来它可能用于文件加密,但研究人员没有在他们分析的任何感染中看到该文件,至少目前还没有。

  Sucuri 的客户端位于美国南部,但其站点的访问日志显示,来自一个外国 IP 地址的多个请求使用 wp-admin 的插件编辑器功能与恶意插件交互。 这表明合法插件已经安装在网站上,后来被攻击者篡改,Sucuri 说。

  有趣的是,我们从攻击者 IP 地址看到的第一个请求来自 wp-admin 面板,这表明他们在开始之前就已经建立了对网站的管理员访问权限, 马丁说。 他们是否使用另一个 IP 地址强行输入了管理员密码,或者是从黑市获得了已经泄露的登录信息,这谁也说不准。

  您可以看到它的特点,即:跳过创建真实、实时勒索软件的棘手任务,直接戳中您内心的恐惧。Stealthbits- 现在是 Netwrix 的一部分 - 的技术产品经理 Dan Piazza 告诉 Threatpost,在真实勒索软件攻击逐年增加之后,虚假勒索软件攻击的出现并不奇怪, 特别是考虑到这些虚假攻击非常简便省事, 他说, 技术水平较低的攻击者可以利用对勒索软件日益增长的恐惧,并试图通过简单的黑客攻击而不是开发完善且复杂的勒索软件获利。

  Blue Hexagon 的首席技术官兼联合创始人 Saumitra Das 称这是一种对勒索受害者的有趣常识—— 对于害怕失去业务的网站所有者来说,这可能会成功 。

  鉴于备份技术及其采用在过去几年中有所改善,勒索软件参与者正在勒索而不是加密方面进行创新,Das 指出, 这只是勒索创新的另一个例子。攻击者不仅在加密,而且还在点名羞辱品牌、泄露数据、威胁高管和用户。

  Piazza 告诉 Threatpost,这次攻击是假的这件事本身并不重要。事实是,这些 WordPress 网站确实是通过其最有特权的攻击点—— a WordPress Admin 而遭到入侵,他通过电子邮件说。

  如果攻击者想要部署真正的勒索软件,那么他们实际上已经掌握了进入王国的钥匙,Piazza 说。

  为了对真正的勒索软件保持警惕,Piazza 建议管理员确保他们的站点运行 CMS、使用的任何插件以及他们在源代码中实现的任何库或框架都是最新的版本。

  修补过的 0day 漏洞仍然是攻击者的一大目标,因为许多网站仍然使用旧版本的软件, 他指出。

  访问管理也是必不可少的,以限制特权管理员的数量甚至这些管理员的生命周期,Piazza 继续说道。 特权访问管理软件可以在这里提供帮助,通过提供即时权限甚至仅在需要时才存在的管理员帐户。

  他说,定时备份也是必须的。 如果备份与网站服务器完全分开存储,那么在受到攻击时很容易恢复并运行。

  他还建议对所有特权凭据使用多因素身份验证(MFA),并指出 Microsoft 的一份报告称,MFA 可以阻止超过 99.9% 的帐户入侵攻击。· 【郑州招聘】河南锦峰投资有限公司