據bleepingcomputer消息,近期發生了一輪針對通過WordPress搭建的網站的勒索攻擊,截止到目前已經有300多個網站遭受了攻擊。
有意思的是,這實際上是一輪假的勒索攻擊,在網站顯示的也是假的加密通知,攻擊者試圖通過勒索攻擊的恐懼引誘網站所有者支付 0.1枚比特幣進行恢復(約 6,069.23 美元)。
如下圖所示,這些勒索贖金的通知看起來非常真實,還帶有倒數計時器以增加緊迫感,其目的是為了增加網站管理員支付贖金的概率。
雖然和很多勒索攻擊的巨額贖金相比,0.1枚比特幣微不足道,但是對于很多個人網站來說依舊是一筆不小的支出。對于攻擊者而言,只要上當受騙的網絡管理者足夠多,累積起的贖金同樣不可小覷。
煙霧和鏡子
網站安全服務提供商Sucuri發現了這些假勒索攻擊,并為其中一名受害者進行應急響應工作。研究之后,Sucuri安全人員發現這些網站并沒有被加密,攻擊者僅僅修改了一個WordPress 插件,這樣就可以顯示上圖所示的贖金記錄和倒計時。
為了讓勒索攻擊更加逼真,攻擊者還將網站所有文章的狀態從“post_status”改為“null”,這意味著所有的文章都處于未發布狀態,乍一看還以為網站真的被加密了。
攻擊者所偽裝的一切,都是為了讓網站所有者認為,他們的網站真的已經被加密了,從而支付0.1枚比特幣的贖金。
一旦用戶支付贖金之后,攻擊者就會刪除插件,并運行命令重新發布文章,使得站點恢復到之前的狀態,也讓用戶認為自己的網站確實是解密了。
看來,為了能夠騙到用戶拿到贖金,攻擊者也是拼了,哪怕技術不夠,也要演技來湊,實施了一次假的加密攻擊來勒索贖金。
結果還真的有不少網站所有者被騙了。此次應急響應過程中,Sucuri大約跟蹤了291個遭受攻擊的網站,谷歌搜索顯示已經有一些網站恢復了,但還有不少網站依舊顯示著勒索贖金。
通過對網絡流量日志的進一步分析,Sucuri安全人員現第一個被攻擊的IP地址是wp-admin 面板。這意味著攻擊者是以管理員身份登錄網站,他們要么是暴力破解了密碼,要么就是在暗網市場獲取了已經泄露的賬號和密碼。
最后,Sucuri建議用戶采取以下安全措施,避免網站再次被黑客攻擊:
- 查看站點管理員用戶,刪除任何虛假帳戶,并更新/更改所有wp-admin密碼;
- 保護網站wp-admin管理員頁面;
- 更改其他接入點密碼(包括數據庫、FTP、cPanel 等);
- 做好防護墻保護工作;
- 做好備份工作,即使真的被攻擊了依舊可以恢復;
- 由于通過WordPress搭建的網站經常被攻擊,因此要確保所有已安裝的插件都是最新的版本。
原文鏈接:https://www.freebuf.com/news/305088.html
