据bleepingcomputer消息最近发生了一轮通过WordPress截至目前,已有300多个网站受到勒索攻击。
有趣的是,这实际上是一轮虚假的勒索攻击,在网站上也显示了虚假的加密通知,攻击者试图引诱网站所有者通过恐惧来支付 0.1恢复枚比特币(约 6,069.23 美元)。
如下图所示,这些勒索赎金通知看起来非常真实,并有倒数计时器来增加紧迫感,旨在增加网站管理员支付赎金的可能性。
尽管与许多勒索攻击的巨额赎金相比,0.1比特币微不足道,但对许多个人网站来说仍然是一笔巨大的开支。对于攻击者来说,只要有足够的网络经理被欺骗,积累的赎金就不容低估。
烟雾和镜子
网站安全服务提供商Sucuri发现了这些假勒索攻击,并对其中一名受害者进行了应急响应。经过研究,Sucuri安全人员发现这些网站没有加密,攻击者只修改了一个WordPress 插件可显示上图所示的赎金记录和倒计时。
为了使勒索攻击更加逼真,攻击者还将网站上所有文章的状态从“post_status”改为“null”,这意味着所有的文章都处于未发布状态,乍一看还以为网站真的被加密了。
攻击者伪装的一切都是为了让网站所有者认为他们的网站真的被加密并支付0.1赎金枚比特币。
一旦用户支付赎金,攻击者将删除插件,并运行命令重新发布文章,使网站恢复到以前的状态,并让用户认为他们的网站确实被解密了。
似乎为了欺骗用户获得赎金,攻击者也在努力工作。即使技术不够,他们也必须把演技放在一起,实施假的加密攻击来勒索赎金。
结果很多网站所有者真的被骗了。在应急响应过程中,Sucuri谷歌搜索显示,一些网站已经恢复,但许多网站仍然显示勒索赎金。
通过对网络流量日志的进一步分析,Sucuri安全人员现在是第一个被攻击的人IP地址是wp-admin 面板。这意味着攻击者以管理员的身份登录网站。他们要么暴力破解密码,要么在暗网市场获账号和密码。
最后,Sucuri建议用户采取以下安全措施,避免网站再次被黑客攻击:
- 查看网站管理员用户,删除任何虚假账户,更新/更改所有虚假账户wp-admin密码;
- 保护网站wp-admin管理员页面;
- 更改其他访问点密码(包括数据库)FTP、cPanel 等);
- 做好防护墙保护工作;
- 做好备份工作,即使真的被攻击了,还是可以恢复的;
- 由于通过WordPress网站经常被攻击,所以确保所有安装的插件都是最新版本。