安全動(dòng)態(tài)

最受歡迎的網(wǎng)站搭建程序WordPress,遭遇了“假勒索攻擊”

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-11-18    瀏覽次數(shù):
 

信息來(lái)源:Freebuf


據(jù)bleepingcomputer消息,近期發(fā)生了一輪針對(duì)通過(guò)WordPress搭建的網(wǎng)站的勒索攻擊,截止到目前已經(jīng)有300多個(gè)網(wǎng)站遭受了攻擊。

有意思的是,這實(shí)際上是一輪假的勒索攻擊,在網(wǎng)站顯示的也是假的加密通知,攻擊者試圖通過(guò)勒索攻擊的恐懼引誘網(wǎng)站所有者支付 0.1枚比特幣進(jìn)行恢復(fù)(約 6,069.23 美元)。

如下圖所示,這些勒索贖金的通知看起來(lái)非常真實(shí),還帶有倒數(shù)計(jì)時(shí)器以增加緊迫感,其目的是為了增加網(wǎng)站管理員支付贖金的概率。

雖然和很多勒索攻擊的巨額贖金相比,0.1枚比特幣微不足道,但是對(duì)于很多個(gè)人網(wǎng)站來(lái)說(shuō)依舊是一筆不小的支出。對(duì)于攻擊者而言,只要上當(dāng)受騙的網(wǎng)絡(luò)管理者足夠多,累積起的贖金同樣不可小覷。

煙霧和鏡子

網(wǎng)站安全服務(wù)提供商Sucuri發(fā)現(xiàn)了這些假勒索攻擊,并為其中一名受害者進(jìn)行應(yīng)急響應(yīng)工作。研究之后,Sucuri安全人員發(fā)現(xiàn)這些網(wǎng)站并沒(méi)有被加密,攻擊者僅僅修改了一個(gè)WordPress 插件,這樣就可以顯示上圖所示的贖金記錄和倒計(jì)時(shí)。

為了讓勒索攻擊更加逼真,攻擊者還將網(wǎng)站所有文章的狀態(tài)從“post_status”改為“null”,這意味著所有的文章都處于未發(fā)布狀態(tài),乍一看還以為網(wǎng)站真的被加密了。

攻擊者所偽裝的一切,都是為了讓網(wǎng)站所有者認(rèn)為,他們的網(wǎng)站真的已經(jīng)被加密了,從而支付0.1枚比特幣的贖金。

一旦用戶支付贖金之后,攻擊者就會(huì)刪除插件,并運(yùn)行命令重新發(fā)布文章,使得站點(diǎn)恢復(fù)到之前的狀態(tài),也讓用戶認(rèn)為自己的網(wǎng)站確實(shí)是解密了。

看來(lái),為了能夠騙到用戶拿到贖金,攻擊者也是拼了,哪怕技術(shù)不夠,也要演技來(lái)湊,實(shí)施了一次假的加密攻擊來(lái)勒索贖金。

結(jié)果還真的有不少網(wǎng)站所有者被騙了。此次應(yīng)急響應(yīng)過(guò)程中,Sucuri大約跟蹤了291個(gè)遭受攻擊的網(wǎng)站,谷歌搜索顯示已經(jīng)有一些網(wǎng)站恢復(fù)了,但還有不少網(wǎng)站依舊顯示著勒索贖金。

通過(guò)對(duì)網(wǎng)絡(luò)流量日志的進(jìn)一步分析,Sucuri安全人員現(xiàn)第一個(gè)被攻擊的IP地址是wp-admin 面板。這意味著攻擊者是以管理員身份登錄網(wǎng)站,他們要么是暴力破解了密碼,要么就是在暗網(wǎng)市場(chǎng)獲取了已經(jīng)泄露的賬號(hào)和密碼。

最后,Sucuri建議用戶采取以下安全措施,避免網(wǎng)站再次被黑客攻擊:

1.查看站點(diǎn)管理員用戶,刪除任何虛假帳戶,并更新/更改所有wp-admin密碼;

2.保護(hù)網(wǎng)站wp-admin管理員頁(yè)面;

3.更改其他接入點(diǎn)密碼(包括數(shù)據(jù)庫(kù)、FTP、cPanel 等);

4.做好防護(hù)墻保護(hù)工作;

5.做好備份工作,即使真的被攻擊了依舊可以恢復(fù);

6.由于通過(guò)WordPress搭建的網(wǎng)站經(jīng)常被攻擊,因此要確保所有已安裝的插件都是最新的版本。

參考來(lái)源

https://www.bleepingcomputer.com/news/security/wordpress-sites-are-being-hacked-in-fake-ransomware-attacks/


 
 

上一篇:公安部公布打擊電詐推廣引流犯罪十大典型案例

下一篇:2021年11月18日聚銘安全速遞