[[437066]]

數(shù)百個WordPress網(wǎng)站都被貼上了假的黑底紅字的警告，警告它們已被加密。

這些警告中的贖金要求帶有倒數(shù)計時器，以引起緊迫感，試圖使網(wǎng)絡(luò)管理員在驚慌中迅速支付贖金：倒計時時鐘滴答作響，警告網(wǎng)站所有者他們有7天10小時21分9秒來支付 0.1比特幣–在這個帖子發(fā)布時價值大約6,000美元–在文件被加密并在無法恢復(fù)之前。

對于開源內(nèi)容管理系統(tǒng)(CMS)的任何小型用戶來說，這都是一筆很大的費用：“至少可以說，對于普通的網(wǎng)站所有者來說，這不是一筆小的數(shù)目。”Sucuri安全分析師Ben Martin在周二的一篇文章中寫道。

Sucuri在周五首次注意到這些宛如吸血鬼電影中的場景一樣的黑底紅字警告。它一開始增加得非常緩慢，然后速度逐漸開始增長：上周在Google搜索時只找到了六條贖金要求的結(jié)果——“FOR RESTORE SEND 0.1 BITCOIN”。當(dāng)網(wǎng)站安全服務(wù)提供商周二報告其調(diào)查結(jié)果時，點擊次數(shù)已經(jīng)高達291次。

尖利的、宛如用鮮血書寫的、全大寫的消息：

發(fā)送0.1比特幣以恢復(fù)加密的站點：[地址已編輯]

(在站點/unlock.txt上創(chuàng)建包含交易密鑰的文件)

幸運的是，在支付高額的比特幣之前，至少有一位網(wǎng)站管理員向Sucuri報告了“勒索軟件”警告。

滴答，滴答......

該警告顯然是在通過倒計時來灌輸緊迫感，進而成功的刺激受害者的腎上腺素飆升。無論是在羅曼蒂克式愛情詐騙手段、用于提升憑證的虛假亞馬遜包裹遞送通知還是其他諸如此類的騙局，它們都是騙子工具包中最常用和最有效的工具。

但是Sucuri的研究人員追蹤并分析了這些假勒索軟件，他們聲稱什么也沒發(fā)現(xiàn)。在對包含比特幣地址的文件進行現(xiàn)場掃描時，他們發(fā)現(xiàn)虛假勒索軟件警報只是一個由虛假插件生成的簡單HTML頁面“./wp-content/plugins/directorist/directorist-base./wp-content/plugins/directorist/directorist-base. php”。

他們分享了一個屏幕截圖，如下所示，顯示了用于生成贖金消息的“非常基本的HTML”：

至于倒數(shù)計時器，它是由基本的PHP生成的，如下所示。Martin寫道，可以編輯日期“以在請求中注入更多恐慌”。“請記住，關(guān)于網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)詐騙的第一條規(guī)則是向受害者灌輸緊迫感!”

清除感染

消除感染很容易：“我們所要做的就是從wp-content/plugins目錄中刪除插件，”Martin說。然而，一旦他們返回主網(wǎng)站頁面，研究人員發(fā)現(xiàn)該網(wǎng)站的所有頁面和帖子都會導(dǎo)致“404 Not Found”消息。

根據(jù)Sucuri的帖子，它包含一個基本的SQL命令，可以找到任何狀態(tài)為“publish”的帖子和頁面，并將它們更改為“null”。這些內(nèi)容仍然在數(shù)據(jù)庫中，但無法查看。

同樣地，撤消很容易：“這可以用同樣簡單的SQL命令來逆轉(zhuǎn)，”Sucuri說。即：

UPDATE `wp_posts` SET `post_status` = ‘publish’ WHERE `post_status` = ‘null’; 

“這將公開數(shù)據(jù)庫中標記為null的任何內(nèi)容。”Martin寫道。“如果您將其他內(nèi)容標記為此類，它會重新發(fā)布該內(nèi)容，但這肯定比丟失所有網(wǎng)站帖子和頁面要好。”

Sucuri指出，惡意插件確實有一個文件./wp-content/plugins/directorist/azz_encrypt.php，看起來它可能用于文件加密，但研究人員沒有在他們分析的任何感染中看到該文件，至少目前還沒有。

是誰實施了此次攻擊?

Sucuri的客戶端位于美國南部，但其站點的訪問日志顯示，來自一個外國IP地址的多個請求使用wp-admin的插件編輯器功能與惡意插件交互。“這表明合法插件已經(jīng)安裝在網(wǎng)站上，后來被攻擊者篡改，”Sucuri說。

“有趣的是，我們從攻擊者IP地址看到的第一個請求來自wp-admin面板，這表明他們在開始之前就已經(jīng)建立了對網(wǎng)站的管理員訪問權(quán)限，”馬丁說。“他們是否使用另一個IP地址強行輸入了管理員密碼，或者是從黑市獲得了已經(jīng)泄露的登錄信息，這誰也說不準。”

當(dāng)恐懼產(chǎn)生作用，誰還會在意勒索軟件?

您可以看到它的特點，即：跳過創(chuàng)建真實、實時勒索軟件的棘手任務(wù)，直接戳中您內(nèi)心的恐懼。Stealthbits-現(xiàn)在是Netwrix的一部分-的技術(shù)產(chǎn)品經(jīng)理Dan Piazza告訴Threatpost，在真實勒索軟件攻擊逐年增加之后，虛假勒索軟件攻擊的出現(xiàn)并不奇怪，“特別是考慮到這些虛假攻擊非常簡便省事，”他說，“技術(shù)水平較低的攻擊者可以利用對勒索軟件日益增長的恐懼，并試圖通過簡單的黑客攻擊而不是開發(fā)完善且復(fù)雜的勒索軟件獲利。”

Blue Hexagon的首席技術(shù)官兼聯(lián)合創(chuàng)始人Saumitra Das稱這是一種對勒索受害者的有趣常識——“對于害怕失去業(yè)務(wù)的網(wǎng)站所有者來說，這可能會成功”。

“鑒于備份技術(shù)及其采用在過去幾年中有所改善，勒索軟件參與者正在勒索而不是加密方面進行創(chuàng)新，”Das指出，“這只是勒索創(chuàng)新的另一個例子。攻擊者不僅在加密，而且還在點名羞辱品牌、泄露數(shù)據(jù)、威脅高管和用戶。”

即使是虛假勒索軟件也顯示出一些漏洞

Piazza告訴Threatpost，這次攻擊是假的這件事本身并不重要。事實是，這些WordPress網(wǎng)站確實是通過其最有特權(quán)的攻擊點——“a WordPress Admin”而遭到入侵，他通過電子郵件說。

“如果攻擊者想要部署真正的勒索軟件，那么他們實際上已經(jīng)掌握了進入王國的鑰匙，”Piazza說。

為了對真正的勒索軟件保持警惕，Piazza建議管理員確保他們的站點運行CMS、使用的任何插件以及他們在源代碼中實現(xiàn)的任何庫或框架都是最新的版本。

“修補過的0day漏洞仍然是攻擊者的一大目標，因為許多網(wǎng)站仍然使用舊版本的軟件，”他指出。

“訪問管理也是必不可少的，以限制特權(quán)管理員的數(shù)量甚至這些管理員的生命周期，”Piazza繼續(xù)說道。“特權(quán)訪問管理軟件可以在這里提供幫助，通過提供即時權(quán)限甚至僅在需要時才存在的管理員帳戶。”

他說，定時備份也是必須的。“如果備份與網(wǎng)站服務(wù)器完全分開存儲，那么在受到攻擊時很容易恢復(fù)并運行。”

他還建議對所有特權(quán)憑據(jù)使用多因素身份驗證(MFA)，并指出Microsoft的一份報告稱，MFA可以阻止超過99.9%的帳戶入侵攻擊。

本文翻譯自：https://threatpost.com/fake-ransomware-infection-wordpress/176410/如若轉(zhuǎn)載，請注明原文地址。