数百个WordPress网站贴满了虚假的黑色和红色文本警告,表明它们已加密。这些警告中的赎金要求设有倒计时计时器,以营造紧迫感,试图让网站管理员在恐慌中迅速支付赎金:倒计时时钟在滴答作响,警告网站所有者他们有7天10小时21分钟,9秒后支付0.1个比特币——在这篇文章发布时价值约6,000美元——在文件被加密并变得不可恢复之前。对于开源内容管理系统(CMS)的任何小用户来说,这都是一大笔钱:“至少可以说,对于普通网站所有者来说,这不是一笔小钱。”SucuriSecurity分析师BenMartin周二在一份报告中写道。周五,苏库里第一次注意到红黑相间的警告,看起来就像吸血鬼电影里的东西。起初增长非常缓慢,然后逐渐开始增长:上周谷歌搜索只找到六个赎金要求的结果——“FORRESTORESEND0.1BITCOIN”。当网站安全服务提供商周二报告其调查结果时,点击次数高达291。尖锐、血腥、全大写的消息:发送0.1BTC以恢复加密站点:[地址已编辑](在站点创建文件/解锁.txt包含交易密钥)幸运的是,至少有一位网站管理员在支付巨额比特币之前向Sucuri报告了“勒索软件”警告。滴答,滴答……这个警告分明是在倒计时,以灌输一种紧迫感,进而成功地刺激了受害者的肾上腺素飙升。无论是浪漫爱情骗局、用于提升凭证的虚假亚马逊包裹递送通知,还是其他此类骗局,它们都是骗子工具包中最常用和最有效的工具。但Sucuri研究人员追踪并分析了假勒索软件,他们声称什么也没发现。在对包含比特币地址的文件进行现场扫描时,他们发现虚假的勒索软件警报只是一个由虚假插件生成的简单HTML页面“./wp-content/plugins/directorist/directorist-base./wp-content/插件/directorist/directorist-base.php”。他们分享了一张截图,如下所示,显示了用于生成赎金消息的“非常基本的HTML”:至于倒数计时器,它是由基本的PHP生成的,如下所示。马丁写道,可以编辑日期“以在请求中注入更多恐慌”。“请记住,关于网络钓鱼等在线诈骗的首要规则是向受害者灌输紧迫感!”清除感染清除感染很容易:“我们所要做的就是从wp-content/plugins目录中删除插件,”Martin说。然而,一旦他们返回主网站页面,研究人员发现该网站的所有页面和帖子都会显示“404未找到”消息。根据Sucuri的帖子,它包含一个基本的SQL命令,用于查找状态为“发布”的任何帖子和页面,并将它们更改为“空”。这些仍在数据库中,但无法查看。同样,撤消也很容易:“这可以通过同样简单的SQL命令来逆转,”Sucuri说。即:更新`wp_posts`SET`post_status`='publish'WHERE`post_status`='null';“这将暴露数据库中标记为空的所有内容,”Martin写道。“如果你这样标记其他内容,它会重新发布该内容,但这肯定比丢失所有网站帖子和页面要好。”Sucuri指出,恶意插件确实有一个文件./wp-content/plugins/directorist/azz_encrypt.php,看起来它可能用于文件加密,但研究人员没有在任何感染中看到该文件他们分析了,至少现在还没有。谁进行了攻击?Sucuri的客户位于美国南部,但其站点的访问日志显示来自外国IP地址的多个请求使用wp-admin的插件编辑器功能与恶意插件交互。“这表明网站上安装了一个合法的插件,后来被攻击者篡改了,”Sucuri说。“有趣的是,我们从攻击者的IP地址看到的第一个请求来自wp-admin面板,这表明他们在开始之前已经建立了对该站点的管理员访问权限,”Martin说。“他们是否使用了另一个IP地址来暴力破解管理员密码,或者从黑市获得了泄露的登录信息,这是任何人的猜测。”当恐惧在起作用时,谁会关心勒索软件?你可以看到它的特点,即:跳过创建真实、实时勒索软件的棘手任务,直奔你内心的恐惧。Stealthbits(现为Netwrix的一部分)的技术产品经理DanPiazza告诉Threatpost,在真正的勒索软件攻击逐年增加之后,假勒索软件攻击的出现也就不足为奇了,“特别是考虑到这些假勒索软件攻击是多么容易和便宜攻击是,”他说。BlueHexagon的首席技术官兼联合创始人SaumitraDas表示:“技能较低的攻击者可以利用对勒索软件日益增长的恐惧,并尝试从简单的黑客攻击中获利,而不是从开发完善的复杂勒索软件中获利。”勒索受害者的知识——“对于害怕失去业务的网站所有者来说,这可能会奏效”。“鉴于备份技术及其采用在过去几年中有所改进,勒索软件参与者正在勒索软件而不是加密方面进行创新,”Das指出。“这只是勒索软件创新的另一个例子。攻击者不仅在加密,还在点名羞辱品牌,泄露数据,威胁高管和用户。”Piazza告诉Threatpost,即使是假的勒索软件也会显示出一些漏洞,攻击是假的这一事实本身并不重要。事实是,这些WordPress网站确实是通过其最特权的攻击点——“一个WordPress管理员,”他在电子邮件中说。“如果攻击者想要部署真正的勒索软件,他们实际上掌握着通往王国的钥匙,”皮亚扎说。为了对真正的勒索软件保持警惕,Piazza建议管理员确保他们的站点运行最新版本的CMS、他们使用的任何插件以及他们在源代码中实现的任何库或框架。“打了补丁的零日漏洞仍然是攻击者的一大目标,因为许多网站仍在使用旧版本的软件,”他指出。“访问管理对于限制特权管理员的数量甚至这些管理员的生命周期也是必不可少的,”Piazza继续说道。“特权访问管理软件可以在这方面提供帮助,它可以提供即时访问权限,甚至是仅在需要时才存在的管理员帐户。”他说,定期备份也是必须的。“如果备份与网络服务器完全分开存储,那么在发生攻击时很容易恢复并运行。”他还建议对所有特权凭据使用多因素身份验证(MFA),并指出微软的一份报告称MFA可以防止超过99.9%的帐户泄露攻击。本文翻译自:https://threatpost.com/fake-ransomware-infection-wordpress/176410/如有转载请注明出处。
