Novinky

Ransomware útočí na weby s redakčním systémem WordPress

Koncem minulého týdne proběhla nová vlna útoků, během které bylo napadeno více než 300 webů běžících na redakčním systému WordPress. Na postižených stránkách se místo obsahu zobrazoval text požadující zaplacení výkupného ve výši 0,1 bitcoinu, tj. asi 130 tisíc korun. 

Požadavek na výkupné je doplněn odpočtem času, který má vyvolat pocit naléhavosti a přimět správce webu k co nejrychlejšímu zaplacení. Ačkoli výkupné v této výši není nijak zvlášť vysoké ve srovnání s tím, co vídáme při běžných ransomwarových útocích, pro mnoho majitelů webových stránek to může být citelná částka.

Útoky odhalila bezpečnostní firma Sucuri, kterou si najala jedna z obětí, aby vyřešila bezpečnostní incident. Odborníci zjistili, že soubory, obsah databáze ani webové stránky jako takové ve skutečnosti nebyly zašifrovány. Útočníci pouze upravili nainstalovaný doplněk WordPressu tak, aby zobrazoval zprávu o výkupném a odpočet.

Kromě zobrazení požadavku na výkupné nastavuje upravený plugin u všech příspěvků jejich post_status na null – články a stránky se tedy chovají jako nepublikované. Pro návštěvníky tak není obsah webu dostupný, což má podpořit jednoduchou, ale působivou iluzi o jeho zašifrování.

Po další analýze protokolů síťového provozu společnost Sucuri zjistila, že prvním místem, kde se objevila IP adresa útočníka, byl panel wp-admin. To znamená, že se infiltrátoři na web přihlásili jako administrátoři, a to buď hrubým prolomením hesla, nebo získáním ukradených přihlašovacích údajů z dark webových obchodů. Nejednalo se o izolovaný útok – zdá se, že je součástí širší kampaně, což dává větší váhu druhému scénáři.

Co se týče postiženého pluginu – jednalo se o doplněk Directorist, což je nástroj pro vytváření online adresářů firemních zápisů podobných Yelpu nebo Tripadvisoru. Nedávno v něm byla opravena chyba, jež umožňovala uživatelům s nízkými právy spustit libovolný kód – je tedy velmi pravděpodobné, že napadené weby měly tento plugin v zastaralé verzi.

Bezpečnostní experti odhalili přibližně tři stovky webových stránek postižených tímto útokem, přičemž vyhledávání na Googlu ukazuje mix vyčištěných webů i webů, na kterých se stále zobrazují požadavky na výkupné. To má být zasláno na bitcoinovou adresu 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc, na kterou zatím nepřišly žádné platby.

Řešení je v tomto případě naštěstí poměrně jednoduché: po odstranění doplňku a opětovném zveřejnění příspěvků a stránek se web vrátí do normálního stavu. Následně je doporučeno změnit hesla všech uživatelů. Obecná doporučení pak obsahují aktualizaci všech pluginů na nejnovější verzi, umístění webu za firewall a implementaci spolehlivého zálohování.

 

Citováno dne 21.11.2021 z: https://www.zive.cz/clanky/ransomware-utoci-na-weby-s-redakcnim-systemem-wordpress-a-pozaduje-vykupne/sc-3-a-213444/default.aspx 

MicrosoftFujitsuEpsonOKIZyXELSeyfor