
Χακάρισμα σε σελίδες WordPress: Νέες επιθέσεις ransomware_

Ερευνητές ασφαλείας ανακάλυψαν ότι σχεδόν 300 ιστότοποι WordPress έχουν δεχτεί επίθεση με αποτέλεσμα να εμφανίζουν ψεύτικες ειδοποιήσεις, προκειμένου να εξαπατήσουν τους ιδιοκτήτες του ιστότοπου να πληρώσουν 0,1 bitcoin (BTC) για την επαναφορά τους.
Η απαίτηση για τα ζητούμενα «λύτρα» συνοδευόταν από χρονόμετρα αντίστροφης μέτρησης που προστέθηκαν για να δημιουργήσουν περισσότερο πανικό και να εκβιάσουν περαιτέρω τους ιδιοκτήτες για να καταθέσουν το συγκεκριμένο ποσό.
Η εξαπάτηση πίσω από αυτές τις επιθέσεις ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας Sucuri, η οποία προσλήφθηκε από ένα από τα θύματα για να βρει λύση στη συγκεκριμένη επίθεση. Μόλις ξεκίνησαν την έρευνά τους, οι ερευνητές ανακάλυψαν ότι οι σελίδες δεν ήταν κρυπτογραφημένες και ότι η ειδοποίηση για την επίθεση ήταν… ψεύτικη.
Οι ερευνητές δήλωσαν ότι η «επίθεση» είχε όλα τα χαρακτηριστικά μιας γνήσιας επίθεσης ransomware, καθώς φαινόταν να υποδηλώνει ότι ο ιστότοπος ήταν κρυπτογραφημένος. Ενώ το ποσό των 0,1 BTC ήταν σημαντικά μικρότερο από αυτό που ζητείται σε τυπικές επιθέσεις ransomware, εξακολουθώντας βέβαια να είναι ένα διόλου ευκαταφρόνητο ποσό που ξεπερνά τα 6000 δολάρια.
«Πριν πανικοβληθούν και πληρώσουν τα λύτρα (ή ανακατασκευάσουν πλήρως τον ιστότοπό τους από την αρχή) ευτυχώς κάποιοι ιδιοκτήτες ιστότοπων μας προσέλαβαν να ρίξουμε μια ματιά», γράφει η εταιρία Sucuri, η οποία είχε αντιμετωπίσει κατά το παρελθόν πολλές επιθέσεις ransomware σε ιστότοπους.
Ωστόσο, μόλις κοίταξαν μέσα στον διακομιστή ιστού, ανακάλυψαν ότι τα αρχεία δεν ήταν κρυπτογραφημένα. Αντίθετα, η προειδοποίηση αποδείχθηκε ότι ήταν μια απλή σελίδα HTML που δημιουργήθηκε από μια ψεύτικη σελίδα-πρόσθετο WordPress.
Εκτός από την εμφάνιση του μηνύματος και του χρονοδιακόπτη, το add-on εξέδωσε μια απλή εντολή SQL για την εύρεση τυχόν αναρτήσεων και σελίδων που είχαν την κατάσταση «δημοσίευση» και την άλλαξε σε “null”, που αυτομάτως «πέταξε» σφάλμα 404 σε όλες τις σελίδες και απέδωσε μια κάποια αξιοπιστία στη ψεύτικη αυτή επίθεση.
Οι ερευνητές, ωστόσο, δεν μπόρεσαν να προσδιορίσουν εάν οι εισβολείς είχαν αποκτήσει πρόσβαση σε ήδη παραβιασμένες συνδέσεις, μέσα από στοιχεία που κυκλοφορούν στη μαύρη αγορά.