Lažni ransomware napada WordPress web stranice

Nekoliko stotina vlasnika web stranica na najpopularnijem svjetskom CMS-u, WordPressu, ovih se dana našlo suočeno s neobičnom prijetnjom: ili uplatite 0,1 bitcoin (trenutačno oko 6.000 dolara) na istaknutu adresu, ili riskirajte gubitak cijelog svojeg weba. Ono što stoji u pozadini ove prijetnje jest hakerski napad kojim su nepoznati napadači uspjeli infiltrirati WordPress stranice i u njih ubaciti svoju skriptu.

U poruci kojom se administratore napadnutih webova upozorava na napad ističe se kako im je cijeli sustav na WordPressu kriptiran, a tek plaćanjem otkupnine bit će im vraćen pristup do stranice. Da bi se pojačao dojam, poruka uključuje i sat koji odbrojava vrijeme do isteka roka za plaćanje, što bi moglo izazvati paniku kod manje iskusnih administratora. Međutim, pozadina priče nešto je drugačija.

Plugin, a ne ransomware

Sigurnosni stručnjaci koji su analizirali ove napade otkrili su kako nije riječ o nekom novom, nepoznatom soju ransomwarea koji bi kriptirao WordPress. Naprotiv, napadači su u ciljane stranice uspjeli instalirati tek vlastiti WordPress plugin, a on je imao zadatak tek isključiti sve objave u sustavu i prikazati zahtjev za otkupninom.

Do pristupa kontrolnoj ploči WordPressa s administratorskim ovlastima došli su ili brute force napadom i pogađanjem lozinke, ili pak kupovinom ukradenih kombinacija korisničkih imena i lozinki na Dark webu. Nakon toga pokrenuli su kampanju instaliranja ovog lažnog ransomwarea i pokušali prijetnjama izvući koji dolar od naivnih vlasnika webova. Analiza blockchaina pokazuje, pak, da u tome za sada nisu bili uspješni, jer na adresu walleta, koja je navedena u zahtjevu za otkupninom, nije sjela niti jedna uplata.

Kako nije riječ o pravom ransomwareu, vrlo je brzo objavljeno i kako se riješiti ovog neželjenog dodatka, dakako, bez plaćanja otkupnine. Upute za uklanjanje i zaštitu od mogućih sličnih napada dostupne su na blogu sigurnosne kompanije Sucuri.