Circa 300 siti WordPress sono stati violati alla fine della settimana scorsa da un’ondata di attacchi che visualizzavano falsi avvisi di crittografia e una richiesta di riscatto a pagare 0,1 bitcoin per il ripristino, richiesta non molto significativa che tuttavia può essere una quantità considerevole per molti proprietari di siti Web.
Le richieste di riscatto sono state accompagnate da un conto alla rovescia per indurre un senso di urgenza per spingere un amministratore web a pagare il riscatto.
Questi attacchi sono stati scoperti dalla società di sicurezza informatica Sucuri, assunta da una delle vittime per eseguire la risposta agli incidenti. I ricercatori hanno scoperto che i siti Web non erano stati crittografati e che gli autori delle minacce avevano modificato un plug-in WordPress installato per visualizzare una richiesta di riscatto e un conto alla rovescia e che modificava tutti i post del blog di WordPress impostando il loro “post_status” su “null”, facendoli passare allo stato non pubblicato.
Gli attori malevoli hanno così creato un’illusione semplice ma potente che ha fatto sembrare che il sito fosse stato crittografato.
Rimuovendo il plugin ed eseguendo un comando per ripubblicare i post e le pagine, il sito è tornato al suo stato normale.
Dopo un’ulteriore analisi dei registri del traffico di rete, gli esperti di Sucuri hanno scoperto che il primo punto in cui è apparso l’indirizzo IP dell’attore era il pannello wp-admin e, quindi, che l’attore ha effettuato l’accesso come amministratore sul sito, forzando la password o procurandosi credenziali rubate dai mercati del dark web.
L’attacco sembra essere parte di una campagna ampia. Sucuri ha monitorato circa 291 siti Web interessati da questo attacco, con una ricerca su Google che mostra un mix di siti ripuliti e quelli che mostrano ancora note di riscatto. Inoltre, tutti i siti visualizzati da BleepingComputer nei risultati di ricerca utilizzano lo stesso indirizzo che non ha ricevuto alcun pagamento di riscatto.
Aggiornamento 18 novembre
«BleepingComputer è stato informato di una recente correzione del plug-in Directorist, che risolveva un bug che consentiva agli utenti con privilegi limitati di eseguire codice arbitrario.
Sebbene il rapporto di Sucuri non presenti il plugin come punto di infiltrazione, l’esistenza di questa vulnerabilità ha senso nel contesto del particolare attacco.
Ciò significa anche che la pulizia dell’infezione e il ripristino del sito non impedirebbero agli attori di colpire di nuovo, purché il plug-in Directorist rimanga in una versione precedente e vulnerabile».