Publicidade

Sites vulneráveis com Wordpress são invadidos para exibir falso ransomware

Por| Editado por Claudio Yuge | 18 de Novembro de 2021 às 13h00

Link copiado!

Reprodução/seventyfourimages (Envato)
Reprodução/seventyfourimages (Envato)

Um novo tipo de ataque contra sites que usam o sistema Wordpress está extorquindo administradores com um falso ataque de ransomware. A partir de técnicas combinadas, os golpistas são capazes de tirar páginas do ar, substituindo-as com um contador e a exigência de pagamento de resgate para liberação, ainda que nenhum conteúdo tenha sido efetivamente criptografado.

De acordo com o alerta feito pela empresa de cibersegurança Sucuri, cerca de 300 sites foram atingidos pela exploração. Os criminosos teriam usado credenciais roubadas, de sites vulneráveis, ou ataques de força bruta para obter acesso ao painel de administração. Na sequência, o plugin Directorist, usado para criar listagens de diretório, é utilizado para tirar todas as postagens do ar, substituindo-as pela nota de resgate.

O pacote vem completo, com direito a letras garrafais e uma contagem regressiva de, geralmente, alguns dias, assim como o endereço da carteira de criptomoedas para a qual as vítimas devem enviar valores. O resgate pedido é de 0,1 Bitcoin, aproximadamente R$ 330,2 mil e muito acima do que muitos administradores de sites são capazes de pagar.

Continua após a publicidade

Felizmente para as vítimas, os conteúdos não apenas não estão criptografados como nem mesmo chegam a ser deletados. Para os especialistas, bastou remover o plugin e executar um comando de recuperação para que todas as páginas e postagens voltassem ao ar, sem prejuízos nem perda de informações.

Um segundo vetor, ainda, pode ter sido solucionado pelos desenvolvedores do Directorist. Nesta semana, os desenvolvedores liberaram uma correção que impede a usuários com baixo poder rodarem códigos remotos; ainda que o plugin em si não tenha sido citado como vetor de entrada para o ataque, seria possível utilizar esse caminho para executar ataques contra as páginas em versões antigas da extensão.

A Sucuri disse ter descoberto o ataque depois que uma das vítimas contratou seus serviços de recuperação. A empresa fala em uma campanha organizada, que pode estar usando credenciais de sites obtidas na dark web, e cita outros 291 sites que podem estar suscetíveis. Por outro lado, o alto valor também fez com que a onda de golpes não fosse bem-sucedida, já que até o momento de publicação desta reportagem, a carteira usada pelos criminosos não havia recebido nenhum pagamento.

Continua após a publicidade

Como medidas de segurança, os especialistas recomendam trocas periódicas de senhas de acesso ao Wordpress, assim como revisões constantes nos papeis de usuários cadastrados, mudanças nos privilégios de contas inativas e olho vivo com eventuais perfis estranhos. Outros pontos de acesso a banco de dados, FTP e painéis de controle também devem receber segurança adicional, enquanto rotinas de backup ajudam no caso de um ataque real de ransomware.

Além disso, como sempre, é importante manter plugins e o próprio Wordpress sempre atualizados, já que vulnerabilidades são a principal porta de entrada para ataques contra sites e seus usuários. Usar firewalls e ferramentas de segurança também ajuda a manter a proteção em dia.

Fonte: Sucuri, Bleeping Computer