Sites WordPress piratés lors de fausses attaques de ransomware

Publié le 19 décembre 2021 par Mycamer

Les chercheurs en sécurité ont découvert que près de 300 WordPress les sites Web ont été défigurés pour afficher de faux avis d’attaque, afin d’inciter les propriétaires de sites à payer 0,1 Bitcoin (BTC) pour restauration.

Les demandes de rançon étaient accompagnées de comptes à rebours qui ont été ajoutés pour créer plus de panique et forcer davantage les propriétaires à payer la rançon.

La tromperie derrière ces attaques a été découverte par la cyber-sécurité l’entreprise Sucuri qui a été embauchée par l’une des victimes pour répondre à l’attaque présumée.

Dès qu’ils ont commencé leur enquête, les chercheurs ont découvert que les pages des sites Web n’avaient pas été cryptées et que l’avis était faux.

Déception intelligente

Les chercheurs ont déclaré que «l’attaque» avait toutes les caractéristiques d’un véritable ransomware campagne, car cela semblait suggérer que le site Web avait été crypté. Alors que la somme de la demande de 0,1 BTC était considérablement inférieure à ce qui est demandé dans les attaques de ransomware typiques, elle s’élève toujours à plus de 6000 $, ce qui reste une somme d’argent considérable.

“Avant de paniquer et de payer la rançon (ou de reconstruire complètement leur site Web à partir de zéro), heureusement, certains propriétaires de sites Web nous ont embauchés pour y jeter un coup d’œil”, écrit Sucuri, qui avait déjà combattu les attaques de ransomware sur des sites Web.

Cependant, dès qu’ils ont regardé à l’intérieur du serveur Web, ils ont découvert que les fichiers n’étaient pas cryptés. Au lieu de cela, l’avertissement s’est avéré être une simple page HTML générée par un faux Plugin WordPress.

En plus d’afficher le message et la minuterie, le plugin a émis un simple SQL commande pour trouver tous les articles et pages ayant le statut « publier » et le changer en « null », ce qui mettrait en 404 toutes les pages et donnerait de la crédibilité à la fausse attaque.

Les chercheurs n’ont cependant pas pu déterminer si les attaquants avaient brutalement forcé le mot de passe administrateur ou avaient acquis la connexion déjà compromise sur le marché noir.

Vous voulez créer un site Web ? Utilisez l’un de ces meilleurs hébergeurs WordPress et les construire à l’aide de ces meilleurs constructeurs de sites Web WordPress

— to www.techradar.com