Una nueva oleada de ataques que comenzó a finales de la semana pasada ha hackeado cerca de 300 sitios de WordPress para mostrar falsos avisos de cifrado, tratando de inducir a los propietarios del sitio a pagar 0,1 bitcoin (aproximadamente USD 6000) para su recuperación.
Estas peticiones de rescate vienen acompañadas de una cuenta regresiva para generar una sensación de urgencia y posiblemente asustar al administrador de la web para que pague el rescate.
Los ataques fueron descubiertos por la empresa de ciberseguridad Sucuri, que fue contratada por una de las víctimas para responder al incidente. Sucuri constató que los sitios web no habían sido cifrados, sino que los atacantes habían modificado un plugin de WordPress instalado para mostrar una nota de rescate y una cuenta regresiva. El plugin identificado por Sucuri era Directorist, una herramienta para crear listados de negocios en los sitios.
Además de mostrar una nota de rescate, el plugin modificaba todas las entradas del blog de WordPress y establecía su “post_status” en “null”, haciendo que pasaran a un estado no publicado. De este modo, los actores crearon una ilusión simple pero convincente que hacía parecer que el sitio había sido cifrado.
Tras un análisis más detallado de los registros de tráfico de la red, Sucuri descubrió que el primer punto en el que aparecía la dirección IP del actor era el panel wp-admin. Esto significa que los infiltrados se registraron como administradores en el sitio, ya sea forzando la contraseña o mediante la obtención de credenciales robadas en los mercados de la web profunda. Al no tratarse de un ataque aislado, sino que parece ser parte de una campaña más amplia, esta segunda hipótesis es la más probable.
Sucuri ha rastreado aproximadamente 291 sitios web afectados por este ataque. Al eliminar el plugin y ejecutar un comando para volver a publicar las entradas y páginas, el sitio volvió a su estado normal.
Sucuri sugiere las siguientes prácticas de seguridad para proteger los sitios de WordPress de ser hackeados:
- Revisar los usuarios administradores del sitio, eliminar cualquier cuenta falsa y actualizar/cambiar todas las contraseñas de wp-admin.
- Asegure su página de administrador de wp-admin.
- Cambie las contraseñas de otros puntos de acceso (base de datos, FTP, cPanel, etc.).
- Coloque su sitio web detrás de un cortafuegos.
- Siga prácticas de copia de seguridad fiables que faciliten la restauración en caso de un incidente real de cifrado.
- Dado que WordPress suele ser el objetivo de los actores de las amenazas, también es importante asegurarse de que todos los plugins instalados tienen la última versión.
Fuente: diarioti.com
