虚假勒索软件攻击了WordPress网站

数百个WordPress网站都被贴上了假的黑底红字的警告，警告它们已被加密。

这些警告中的赎金要求带有倒数计时器，以引起紧迫感，试图使网络管理员在惊慌中迅速支付赎金：倒计时时钟滴答作响，警告网站所有者他们有7天10小时21分9秒来支付 0.1比特币–在这个帖子发布时价值大约6,000美元–在文件被加密并在无法恢复之前。

对于开源内容管理系统(CMS)的任何小型用户来说，这都是一笔很大的费用：“至少可以说，对于普通的网站所有者来说，这不是一笔小的数目。”Sucuri安全分析师Ben Martin在周二的一篇文章中写道。

Sucuri在周五首次注意到这些宛如吸血鬼电影中的场景一样的黑底红字警告。它一开始增加得非常缓慢，然后速度逐渐开始增长：上周在Google搜索时只找到了六条赎金要求的结果——“FOR RESTORE SEND 0.1 BITCOIN”。当网站安全服务提供商周二报告其调查结果时，点击次数已经高达291次。

尖利的、宛如用鲜血书写的、全大写的消息：

发送0.1比特币以恢复加密的站点：[地址已编辑]

(在站点/unlock.txt上创建包含交易密钥的文件)

幸运的是，在支付高额的比特币之前，至少有一位网站管理员向Sucuri报告了“勒索软件”警告。

滴答，滴答......

该警告显然是在通过倒计时来灌输紧迫感，进而成功的刺激受害者的肾上腺素飙升。无论是在罗曼蒂克式爱情诈骗手段、用于提升凭证的虚假亚马逊包裹递送通知还是其他诸如此类的骗局，它们都是骗子工具包中最常用和最有效的工具。

但是Sucuri的研究人员追踪并分析了这些假勒索软件，他们声称什么也没发现。在对包含比特币地址的文件进行现场扫描时，他们发现虚假勒索软件警报只是一个由虚假插件生成的简单HTML页面“./wp-content/plugins/directorist/directorist-base./wp-content/plugins/directorist/directorist-base. php”。

他们分享了一个屏幕截图，如下所示，显示了用于生成赎金消息的“非常基本的HTML”：

至于倒数计时器，它是由基本的PHP生成的，如下所示。Martin写道，可以编辑日期“以在请求中注入更多恐慌”。“请记住，关于网络钓鱼等网络诈骗的第一条规则是向受害者灌输紧迫感!”

清除感染

消除感染很容易：“我们所要做的就是从wp-content/plugins目录中删除插件，”Martin说。然而，一旦他们返回主网站页面，研究人员发现该网站的所有页面和帖子都会导致“404 Not Found”消息。

根据Sucuri的帖子，它包含一个基本的SQL命令，可以找到任何状态为“publish”的帖子和页面，并将它们更改为“null”。这些内容仍然在数据库中，但无法查看。

同样地，撤消很容易：“这可以用同样简单的SQL命令来逆转，”Sucuri说。即：

 
 
UPDATE `wp_posts` SET `post_status` = ‘publish’ WHERE `post_status` = ‘null’; 
 

“这将公开数据库中标记为null的任何内容。”Martin写道。“如果您将其他内容标记为此类，它会重新发布该内容，但这肯定比丢失所有网站帖子和页面要好。”

Sucuri指出，恶意插件确实有一个文件./wp-content/plugins/directorist/azz_encrypt.php，看起来它可能用于文件加密，但研究人员没有在他们分析的任何感染中看到该文件，至少目前还没有。

是谁实施了此次攻击?

Sucuri的客户端位于美国南部，但其站点的访问日志显示，来自一个外国IP地址的多个请求使用wp-admin的插件编辑器功能与恶意插件交互。“这表明合法插件已经安装在网站上，后来被攻击者篡改，”Sucuri说。

“有趣的是，我们从攻击者IP地址看到的第一个请求来自wp-admin面板，这表明他们在开始之前就已经建立了对网站的管理员访问权限，”马丁说。“他们是否使用另一个IP地址强行输入了管理员密码，或者是从黑市获得了已经泄露的登录信息，这谁也说不准。”

当恐惧产生作用，谁还会在意勒索软件?

您可以看到它的特点，即：跳过创建真实、实时勒索软件的棘手任务，直接戳中您内心的恐惧。Stealthbits-现在是Netwrix的一部分-的技术产品经理Dan Piazza告诉Threatpost，在真实勒索软件攻击逐年增加之后，虚假勒索软件攻击的出现并不奇怪，“特别是考虑到这些虚假攻击非常简便省事，”他说，“技术水平较低的攻击者可以利用对勒索软件日益增长的恐惧，并试图通过简单的黑客攻击而不是开发完善且复杂的勒索软件获利。”

Blue Hexagon的首席技术官兼联合创始人Saumitra Das称这是一种对勒索受害者的有趣常识——“对于害怕失去业务的网站所有者来说，这可能会成功”。

“鉴于备份技术及其采用在过去几年中有所改善，勒索软件参与者正在勒索而不是加密方面进行创新，”Das指出，“这只是勒索创新的另一个例子。攻击者不仅在加密，而且还在点名羞辱品牌、泄露数据、威胁高管和用户。”

即使是虚假勒索软件也显示出一些漏洞

Piazza告诉Threatpost，这次攻击是假的这件事本身并不重要。事实是，这些WordPress网站确实是通过其最有特权的攻击点——“a WordPress Admin”而遭到入侵，他通过电子邮件说。

“如果攻击者想要部署真正的勒索软件，那么他们实际上已经掌握了进入王国的钥匙，”Piazza说。

为了对真正的勒索软件保持警惕，Piazza建议管理员确保他们的站点运行CMS、使用的任何插件以及他们在源代码中实现的任何库或框架都是最新的版本。

“修补过的0day漏洞仍然是攻击者的一大目标，因为许多网站仍然使用旧版本的软件，”他指出。

“访问管理也是必不可少的，以限制特权管理员的数量甚至这些管理员的生命周期，”Piazza继续说道。“特权访问管理软件可以在这里提供帮助，通过提供即时权限甚至仅在需要时才存在的管理员帐户。”

他说，定时备份也是必须的。“如果备份与网站服务器完全分开存储，那么在受到攻击时很容易恢复并运行。”

他还建议对所有特权凭据使用多因素身份验证(MFA)，并指出Microsoft的一份报告称，MFA可以阻止超过99.9%的帐户入侵攻击。

本文翻译自：https://threatpost.com/fake-ransomware-infection-wordpress/176410/如若转载，请注明原文地址。