Peringatan merah-hitam palsu telah ditempelkan ke ratusan situs WordPress, memperingatkan bahwa mereka telah dienkripsi.
Peringatan memiliki setidaknya satu perlengkapan ransomware yang mungkin terlihat meyakinkan pada tampilan pertama: jam hitung mundur tik-tik-tik, memperingatkan pemilik situs bahwa mereka memiliki waktu tujuh hari, 10 jam, 21 menit, dan 9 detik untuk membayar lebih dari 0,1 Bitcoin – sekitar USD $6.000 pada saat cerita ini diposting – sebelum file dienkripsi dan naik menjadi embusan yang tidak dapat diperbaiki lagi. -smoke.
Itu adalah bagian perubahan yang bagus untuk setiap pengguna kecil dari sistem manajemen konten sumber terbuka (CMS): “Bukan jumlah uang yang dapat diabaikan untuk pemilik situs web rata-rata, untuk sedikitnya!” Analis keamanan Sucuri Ben Martin menulis dalam sebuah posting Selasa. Ini paling curam mengingat semuanya asap dan cermin.
Sucuri pertama kali memperhatikan peringatan merah-hitam berwarna film vampir palsu pada hari Jumat. Itu dimulai dengan lambat, dan kemudian mulai tumbuh: Menjalankan Pencarian Google minggu lalu hanya menghasilkan enam hasil untuk permintaan tebusan – “UNTUK KEMBALI KIRIM 0,1 BITCOIN”. Itu mencapai 291 hit ketika penyedia layanan keamanan situs web melaporkan temuannya pada hari Selasa.
Pesan melengking, berdarah, huruf besar:
SITE ENCRYPTED FOR RESTORE SEND 0.1 BITCOIN: [alamat disunting] (buat file di situs /unlock.txt dengan kunci transaksi di dalam)
Pesan yang mengkhawatirkan dalam warna merah darah yang mencekam tenggorokan. Sumber: Sucuri.
Untungnya, sebelum membiarkan Bitcoin mereka yang berharga terbang keluar jendela, setidaknya satu admin situs web melaporkan peringatan “ransomware” ke Sucuri.
Tick, Tock, What a Crock
Peringatan itu jelas dimaksudkan untuk memompa adrenalin target, menanamkan a rasa urgensi dengan jam hitung mundur yang terus berdetak. Ini adalah alat yang teruji dan benar dalam perangkat penipu, apakah Anda berbicara tentang penipuan asmara, pemberitahuan pengiriman paket Amazon palsu yang dirancang untuk mengangkat kredensial atau trilyun lainnya “Terburu-buru! Bergegas!” frauds.
Tetapi peneliti Sucuri yang melacak dan menganalisis ransomware palsu mengatakan bahwa mereka tidak menemukan apa-apa. Saat menjalankan pemindaian di tempat untuk file yang berisi alamat bitcoin, mereka menemukan bahwa peringatan ransomware palsu hanyalah halaman HTML sederhana yang dihasilkan oleh plugin palsu, “./wp-content/plugins/directorist/directorist-base. php.”
Mereka membagikan tangkapan layar, yang ditunjukkan di bawah, yang menunjukkan “HTML sangat dasar” yang digunakan untuk menghasilkan pesan tebusan:
HTML Dasar digunakan untuk menghasilkan pesan tebusan palsu. Sumber: Sucuri.
Sejauh penghitung waktu mundur berjalan, itu dihasilkan oleh PHP dasar, seperti yang ditunjukkan di bawah ini. Tanggal dapat diedit “untuk menanamkan lebih banyak kepanikan ke dalam permintaan,” tulis Martin. “Ingat teman-teman, aturan nomor satu tentang penipuan online seperti phishing adalah menanamkan rasa urgensi kepada korbannya!”
PHP digunakan untuk menghasilkan penghitung waktu mundur. Sumber: Sucuri.
Menggosok Situs Clean
Menghapus infeksi sangat mudah: “Yang harus kami lakukan hanyalah menghapus plugin dari direktori wp-content/plugins,” kata Martin. Namun, begitu mereka mendapatkan kembali halaman situs utama, para peneliti menemukan bahwa semua halaman dan postingan situs mengarah ke pesan “404 Not Found”. dan halaman dengan status “terbitkan” dan mengubahnya menjadi “null”, menurut posting Sucuri. Semua konten masih ada di database, tetapi tidak dapat dilihat.
Sekali lagi, mudah untuk membatalkan: “Ini dapat dibalik dengan perintah SQL yang sama sederhananya,” menurut Sucuri. Yaitu:
UPDATE wp_posts SET post_status = ‘publish’ WHERE post_status = ‘null’;
“Ini akan memublikasikan konten apa pun dalam database yang ditandai sebagai null.” tulis Martin. “Jika Anda memiliki konten lain yang ditandai seperti itu, itu akan menerbitkan ulang itu, tetapi itu tentu lebih baik daripada kehilangan semua posting dan halaman situs web Anda.”
Sucuri mencatat bahwa plugin berbahaya memang memiliki file – ./wp-content/plugins /directorist/azz_encrypt.php – yang kelihatannya mungkin benar-benar digunakan untuk enkripsi file, tetapi peneliti tidak melihat file itu di salah satu infeksi yang mereka analisis – setidaknya, belum.
Who’s Spooking WordPress Admins?
Klien Sucuri ditemukan di Amerika Serikat bagian selatan, tetapi log akses situs mereka menunjukkan beberapa permintaan dari alamat IP asing yang berinteraksi dengan plugin berbahaya menggunakan fitur editor plugin wp-admin. “Ini menunjukkan bahwa plugin yang sah sudah diinstal di situs web dan kemudian dirusak oleh penyerang,” kata Sucuri.
“Menariknya, permintaan pertama yang kami lihat dari alamat IP penyerang adalah dari panel wp-admin, menyarankan bahwa mereka telah menetapkan akses administrator ke situs web sebelum mereka memulai kejahatan mereka, ”kata Martin. “Apakah mereka telah memaksa kata sandi admin dengan kasar menggunakan alamat IP lain atau telah memperoleh login yang sudah dikompromikan dari pasar gelap adalah dugaan siapa pun.”
Siapa yang Membutuhkan Ransomware Saat Ketakutan Bekerja dengan Baik?
Anda dapat melihat banding: Lewati tugas rumit membuat ransomware nyata dan langsung, dan langsung menuju ke bagian di mana Anda menakut-nakuti bejeezus dari orang-orang. Dan Piazza, manajer produk teknis untuk Stealthbits, sekarang bagian dari Netwrix, mengatakan kepada Threatpost bahwa tidak mengherankan melihat serangan ransomware palsu setelah peningkatan tahunan serangan ransomware aktual, “terutama mengingat betapa rendahnya upaya serangan palsu ini, ” dia berkata. “Penyerang yang kurang terampil dapat mengambil keuntungan dari meningkatnya ketakutan akan ransomware dan mencoba mengambil untung dengan peretasan sederhana, daripada ransomware yang dikembangkan dengan baik dan kompleks.”
Saumitra Das, CTO dan salah satu pendiri Blue Hexagon, menyebut ini sebagai langkah menarik untuk memeras korban – salah satu yang “mungkin berhasil untuk pemilik situs yang takut kehilangan bisnis.”
“Aktor Ransomware berinovasi pada pemerasan daripada enkripsi mengingat bahwa teknologi cadangan dan adopsi telah meningkat dalam beberapa tahun terakhir,” kata Das. “Ini hanyalah contoh lain dari inovasi pemerasan. Penyerang tidak hanya mengenkripsi tetapi juga menamai dan mempermalukan merek, mengekstrak data, mengancam eksekutif dan pengguna juga.”
Bahkan Ransomware Palsu Menunjukkan Sesuatu yang Rentan
Piazza mengatakan kepada Threatpost bahwa tidak masalah bahwa serangan ini palsu. Faktanya adalah bahwa situs WordPress ini memang disusupi melalui permukaan serangan mereka yang paling istimewa – “Admin WordPress,” katanya melalui email.
“Jika penyerang ingin menyebarkan ransomware yang sebenarnya, maka mereka sudah memiliki kunci kerajaan, ” kata Piazza.
Untuk tetap waspada terhadap ransomware nyata, Piazza menyarankan agar admin memastikan bahwa situs mereka menjalankan pembaruan terbaru untuk CMS, plugin apa pun yang mereka gunakan, dan pustaka atau kerangka kerja apa pun yang telah mereka terapkan dalam kode sumber mereka.
“Eksploitasi zero day yang ditambal masih menjadi target besar bagi penyerang, karena banyak situs web tetap menggunakan versi lama dari perangkat lunak mereka,” dia menunjukkan.
“Manajemen akses juga penting, untuk membatasi jumlah admin istimewa atau bahkan siklus hidup admin itu, ”lanjut Piazza. “Perangkat lunak Manajemen Akses Istimewa dapat membantu di sini, dengan memberikan izin tepat waktu dan bahkan akun admin yang hanya ada saat dibutuhkan.” Pencadangan terjadwal juga merupakan keharusan, katanya. “Jika cadangan disimpan sepenuhnya terpisah dari server situs web, maka mudah untuk membuat cadangan dan berjalan jika terjadi kompromi.”
Dia juga menyarankan agar otentikasi multi-faktor (MFA) digunakan untuk semua kredensial istimewa, menunjuk ke Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9 persen serangan penyusupan akun.
Image dari Disney Parks.
Keamanan siber untuk lingkungan multi-cloud sangat menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery”, Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.
Register SEKARANG untuk acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web