Geral 2min de Leitura - 17 de novembro de 2021

Sites WordPress estão sendo hackeados em falsos ataques ransomware

WordPress aberto em notebook

This post is also available in: Português

Uma nova onda de ataques, que começou na semana passada, invadiu cerca de 300 sites WordPress para exibir avisos de criptografia falsos, tentando enganar os proprietários do site para que pagassem 0,1 bitcoin (cerca de US$ 6.069,23) pela restauração.

Os pedidos de resgate vêm acompanhados de um cronometro com contagem regressiva, para induzir um senso de urgência e, possivelmente, levar o administrador da pagina a pagar o resgate.

Apesar de o resgate exigir apenas 0,1 bitcoin, uma quantia considerada pequena em comparação com o que geralmente é pedido em ataques ransomware, ainda é uma quantia considerável para muitos proprietários de sites.

site criptografado
Mensagem de criptografia de site fictício Imagem/Reprodução: Sucuri

Esses ataques foram descobertos pela empresa de segurança cibernética Sucuri, que foi contratada por uma das vítimas para realizar a resposta a incidentes.

Os pesquisadores descobriram que os sites não foram criptografados, mas que os agentes da ameaça modificaram um plug-in do WordPress instalado para exibir uma nota de resgate e uma contagem regressiva.

Plug-in WP
Plugin WordPress usado para exibir notas de resgate e contagem regressiva. Imagem/Reprodução: Sucuri

O plug-in (Directorist, ferramenta para construir listas de diretórios de negócios online em sites), além de exibir uma nota de resgate, modifica as postagens do site do WordPress e define seu ‘post status’ como ‘null’, fazendo com que fiquem em um estado não publicado.

A ilusão criada pelos cibercriminosos é simples, porém, poderosa, que faz com que o site pareça ter sido criptografado.

Removendo o plugin e executando um comando para republicar os posts e páginas, o site volta ao seu estado normal.

A empresa Sucuri descobriu, após uma análise mais aprofundada dos logs de tráfego de rede, que o primeiro ponto onde o endereço IP do ator apareceu foi o painel wp-admin. Isso significa que os infiltrados se logaram como administradores no site, seja por força bruta ou por meio do fornecimento de credenciais roubadas, comercializadas na da dark web.

A empresa rastreou aproximadamente 291 sites afetados por este ataque, com uma pesquisa no Google mostrando uma mistura de sites limpos e aqueles que ainda mostram notas de resgate.

Segundo o BleepingComputer, todos os sites vistos nos resultados da pesquisa usam o mesmo endereço 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc Bitcoin, que não recebeu nenhum pagamento de resgate.

Proteja seu site contra criptografias

Existem algumas boas práticas de segurança a se seguir para proteger sites WordPress de serem hackeados. Confira abaixo:

  • Revisar os usuários admin no site, remover todas as contas que não devem mais ter acesso e atualizar todas as senhas wp-admin (fazer isso periodicamente);
  • Proteger sua página de administrador wp-admin;
  • Alterar outras senhas do ponto de acesso (banco de dados, FTP, cPanel, ect);
  • Colocar o site atrás de um firewall;
  • Seguir as práticas de backup confiáveis, que facilitarão a restauração no caso de um incidente real de criptografia.

Como o WordPress frequentemente é alvo de cibercriminosos, é importante também verificar sempre se todos os plug-ins instalados estão atualizados em sua versão mais recente.

Fontes: Sucuri, BleepingComputer.

This post is also available in: Português