據(jù)bleepingcomputer消息，近期發(fā)生了一輪針對通過WordPress搭建的網(wǎng)站的勒索攻擊，截止到目前已經(jīng)有300多個網(wǎng)站遭受了攻擊。

[[435614]]

有意思的是，這實際上是一輪假的勒索攻擊，在網(wǎng)站顯示的也是假的加密通知，攻擊者試圖通過勒索攻擊的恐懼引誘網(wǎng)站所有者支付 0.1枚比特幣進行恢復(fù)(約 6,069.23 美元)。

如下圖所示，這些勒索贖金的通知看起來非常真實，還帶有倒數(shù)計時器以增加緊迫感，其目的是為了增加網(wǎng)站管理員支付贖金的概率。

雖然和很多勒索攻擊的巨額贖金相比，0.1枚比特幣微不足道，但是對于很多個人網(wǎng)站來說依舊是一筆不小的支出。對于攻擊者而言，只要上當受騙的網(wǎng)絡(luò)管理者足夠多，累積起的贖金同樣不可小覷。

煙霧和鏡子

網(wǎng)站安全服務(wù)提供商Sucuri發(fā)現(xiàn)了這些假勒索攻擊，并為其中一名受害者進行應(yīng)急響應(yīng)工作。研究之后，Sucuri安全人員發(fā)現(xiàn)這些網(wǎng)站并沒有被加密，攻擊者僅僅修改了一個WordPress 插件，這樣就可以顯示上圖所示的贖金記錄和倒計時。

為了讓勒索攻擊更加逼真，攻擊者還將網(wǎng)站所有文章的狀態(tài)從“post_status”改為“null”，這意味著所有的文章都處于未發(fā)布狀態(tài)，乍一看還以為網(wǎng)站真的被加密了。

攻擊者所偽裝的一切，都是為了讓網(wǎng)站所有者認為，他們的網(wǎng)站真的已經(jīng)被加密了，從而支付0.1枚比特幣的贖金。

一旦用戶支付贖金之后，攻擊者就會刪除插件，并運行命令重新發(fā)布文章，使得站點恢復(fù)到之前的狀態(tài)，也讓用戶認為自己的網(wǎng)站確實是解密了。

看來，為了能夠騙到用戶拿到贖金，攻擊者也是拼了，哪怕技術(shù)不夠，也要演技來湊，實施了一次假的加密攻擊來勒索贖金。

結(jié)果還真的有不少網(wǎng)站所有者被騙了。此次應(yīng)急響應(yīng)過程中，Sucuri大約跟蹤了291個遭受攻擊的網(wǎng)站，谷歌搜索顯示已經(jīng)有一些網(wǎng)站恢復(fù)了，但還有不少網(wǎng)站依舊顯示著勒索贖金。

通過對網(wǎng)絡(luò)流量日志的進一步分析，Sucuri安全人員現(xiàn)第一個被攻擊的IP地址是wp-admin 面板。這意味著攻擊者是以管理員身份登錄網(wǎng)站，他們要么是暴力破解了密碼，要么就是在暗網(wǎng)市場獲取了已經(jīng)泄露的賬號和密碼。

最后，Sucuri建議用戶采取以下安全措施，避免網(wǎng)站再次被黑客攻擊：

• 查看站點管理員用戶，刪除任何虛假帳戶，并更新/更改所有wp-admin密碼;
• 保護網(wǎng)站wp-admin管理員頁面;
• 更改其他接入點密碼(包括數(shù)據(jù)庫、FTP、cPanel 等);
• 做好防護墻保護工作;
• 做好備份工作，即使真的被攻擊了依舊可以恢復(fù);
• 由于通過WordPress搭建的網(wǎng)站經(jīng)常被攻擊，因此要確保所有已安裝的插件都是最新的版本。