据bleepingcomputer消息,近日发生了一轮针对通过WordPress建站的勒索攻击事件。截至目前,已有超过300个网站遭到攻击。有趣的是,这实际上是一轮虚假的勒索软件攻击,网站上显示的是虚假的加密通知。攻击者通过对勒索软件攻击的恐惧,试图引诱网站所有者支付0.1个比特币(约合6,069.23美元)进行恢复。正如您在下图中看到的,这些赎金通知看起来非常真实,并带有倒数计时器以增加紧迫感,以增加网站管理员支付赎金的机会。虽然0.1个比特币与众多勒索软件攻击的巨额赎金相比微不足道,但对于很多个人网站来说,这仍然是一笔不小的开支。对于攻击者来说,只要有足够多的网络管理员被骗,累积的赎金就不可小觑。烟雾和镜像网站安全服务提供商Sucuri发现了虚假的勒索软件攻击,并为其中一名受害者做出了紧急响应。经过研究,Sucuri安全人员发现这些网站并没有加密,攻击者只是修改了一个WordPress插件,使其可以显示如上图所示的勒索字条和倒计时。为了让勒索攻击更真实,攻击者还将网站所有文章的状态从“post_status”改为“null”,即所有文章都处于未发表状态。乍一看,他们以为网站真的加密了。攻击者伪装的一切都是为了让网站所有者相信他们的网站确实是加密的,并支付0.1个比特币的赎金。一旦用户支付赎金,攻击者就会删除插件并运行重新发布文章的命令,将网站恢复到之前的状态,让用户认为自己的网站确实被解密了。看来,为了欺骗用户获取赎金,攻击者也是使出浑身解数。即使技术不够,他们也必须采取行动来弥补,并实施了伪造的加密攻击来勒索赎金。结果,许多网站所有者被骗了。在这次紧急响应中,Sucuri跟踪了大约291个被攻击的网站。谷歌搜索显示部分网站已恢复,但仍有不少网站显示勒索。通过进一步分析网络流量日志,Sucuri安全人员发现第一个被攻击的IP地址是wp-admin面板。这意味着攻击者以管理员身份登录该站点,他们要么暴力破解密码,要么在暗网市场上获取泄露的帐号和密码。最后,Sucuri建议用户采取以下安全措施,避免网站再次被黑:查看网站管理员用户,删除任何虚假账户,更新/更改所有wp-admin密码;安全站点wp-admin管理页面;更改其他连接访问密码(包括数据库、FTP、cPanel等);做好防护墙防护工作;做好备份工作,即使真的被攻击了,还是可以恢复的;因为通过WordPress搭建的网站经常被攻击,所以需要保证所有安装的插件都是最新版本。
