وردپرس گرفتار حملات باج‌افزاری شد
کد مطلب: 18523
تاریخ انتشار : سه شنبه ۲ آذر ۱۴۰۰ ساعت ۱۵:۰۳
 
مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلان‌های رمزگذاری جعلی هک کرده‌اند.
وردپرس گرفتار حملات باج‌افزاری شد
 
 
Share/Save/Bookmark
مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلان‌های رمزگذاری جعلی هک کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان در موج جدیدی از حملات، نزدیک به سیصد سایت وردپرس را برای نمایش اعلان‌های رمزگذاری جعلی هک کرده‌اند. این درخواست‌های باج‌خواهی همراه با یک تایمر شمارش معکوس ارائه می‌شود تا احساس فوریت را القا کند و احتمالاً مدیر سایت را برای پرداخت باج دستپاچه کند.

این در حالی است که مقدار باج ۰,۱ بیت‌کوین (تقریباً معادل ۰۶۹.۲۳.۶ دلار) در مقایسه با آنچه در حملات باج‌افزارهای شناخته‌شده و باسابقه می‌بینیم، چندان قابل‌توجه نیست، اما هنوز هم می‌تواند برای بسیاری از صاحبان سایت‌ها مقدار قابل‌توجهی باشد.

این حملات که توسط شرکت امنیت سایبری Sucuri بررسی‌شده است. آن‌ها دریافتند که سایت‌ها رمزگذاری نشده‌اند، بلکه مهاجمان یک افزونه (Plugin) نصب‌شده در WordPress را جهت نمایش یادداشت اطلاعیه باج‌گیری (Ransom Note) و شمارش معکوس تغییر داده‌اند.

معمولاً وقتی باج‌افزار، فایل‌های سایت را مورد رمزگذاری قرار می‌دهد، پسوند آن‌ها را به lock. یا چیزی مشابه این تغییر می‌دهد و دیگر فایل‌های رمزگذاری شده، قابل خواندن نیستند؛ اما در این حملات این‌طور نیست. اخطار باج کاملاً ساختگی بود. هیچ فایلی رمزگذاری نشده بود! این یک صفحه HTML ساده بود که تنها توسط یک افزونه جعلی تولید شده بود و نه چیزی بیشتر.

برای تولید ساعت شمارش معکوس نیز از تعدادی اسکریپت PHP اولیه استفاده شده است.
برای حذف این آلودگی، تنها باید افزونه را از directory wp-content/plugins حذف کرد. بااین‌حال، هنگام مراجعه به صفحه اصلی سایت، در همه صفحات و پست‌های آن‌ها، خطای ۴۰۴ Not Found مشاهده می‌شود. دلیل این امر آخرین قطعه از افزونه مخرب است.

علاوه بر نمایش اطلاعیه باج‌گیری، مهاجمان با دست‌کاری یکی از دستورات اولیه SQL، یعنی با تغییر گزینه "Post_status"، تمام پست‌ها و صفحات وبلاگ WordPress را از "publish" به ""null تغییر می‌دهند که منجر می‌شود آن‌ها به وضعیت "منتشرنشده" بروند. با اعمال این تغییر، همه محتواها هنوز در پایگاه‌داده هستند، فقط قابل‌مشاهده نیستند! این در حالی است که مهاجمان با تغییر وضعیت صفحات سایت و انتشار اطلاعیه باج‌گیری، این را به قربانیان القاء کرده‌اند که سایت آن‌ها رمزگذاری شده است.

این دستور را می‌توان با یک دستور SQL به‌آسانی همانند آنچه در زیر نمایش‌داده‌شده، معکوس کرد. با این کار هر محتوایی که در پایگاه‌داده به‌صورت null علامت‌گذاری شده است، به حالت قبل برگشته و منتشر می‌شود.
بنابراین با حذف افزونه و اجرای دستور بازنشر پست‌ها و صفحات، سایت به وضعیت عادی خود برمی‌گردد.

پس از تحلیل بیشتر گزارش‌های ترافیک شبکه، محققان Sucuri دریافتند که اولین نقطه‌ای که آدرس IP مهاجمان در آن مشاهده می‌شود، پنل wp-admin است. این بدان معنی است که مهاجمان به‌عنوان سرپرست سایت از طریق اجرای حملات موسوم به Brute-Force یا به‌واسطه جستجو در بازارهای Dark Web جهت دستیابی به اطلاعات اصالت‌سنجی سرقت شده، در سایت وارد شده‌اند.

به نظر می‌رسد این یک حمله انفرادی نبوده، بلکه به نظر می‌رسد بخشی از کارزاری گسترده‌تر باشد.
افزونه‌ای که محققان Sucuri در این حملات مشاهده کردند، افزونه Directorist بوده که ابزاری برای ایجاد فهرستی در فهرست‌های کسب‌وکار آنلاین (online business directories) موجود در سایت‌ها است.

این محققان تقریباً ۲۹۱ سایت را که تحت تأثیر این حملات قرار گرفته بودند، شناسایی کرده‌اند. سایت‌های متأثر از این حمله در نشانی زیر، در موتور جستجوی Google، نشان‌داده‌شده است. بعضی از این سایت‌ها، عملیات پاک‌سازی را انجام داده‌اند، ولی در برخی دیگر هنوز اطلاعیه‌های باج‌گیری قابل نمایش است.

https://www.google.com/search?q=%E۲%۸۰%۹CFOR+RESTORE+SEND+۰,۱+BITCOIN%E۲%۸۰%۹D
به نقل از سایت اینترنتی BleepingComputer، همه سایت‌هایی که در نتایج جستجو نشانی بالا، مشاهده می‌شوند با استناد به لینک زیر از آدرس بیت‌کوین ۳BkiGYFh۶QtjtNCPNNjGwszoqqCka۲SDEc استفاده می‌کنند که تاکنون هیچ باجی دریافت نکرده است.
https://www.blockchain.com/btc/address/۳BkiGYFh۶QtjtNCPNNjGwszoqqCka۲SDEc

محققان Sucuri اقدامات امنیتی زیر را برای محافظت از سایت‌های WordPress در برابر هک شدن پیشنهاد می‌کنند:
- کاربران با سطح دسترسی ممتاز بررسی شوند، هرگونه حساب غیرمجاز حذف شده و در ضمن تمامی رمزهای عبور wp-admin را تغییر داده و به‌روز شود.

- سامانه wp-admin ایمن شود.

- سایر رمزهای عبور پودمان‌های دسترسی (پایگاه‌داده، FTP، cPanel و غیره) تغییر داده شود.

- سایت پشت فایروال (Firewall) قرار گیرد.

با به‌کارگیری روش‌های پشتیبان‌گیری مطمئن، به‌طور منظم نسخه‌های پشتیبان تهیه شود تا در صورت وقوع رمزگذاری واقعی، عملیات‌ترمیم و بازیابی به‌آسانی قابل انجام باشد.

علاوه‌بر این، ازآنجایی‌که WordPress معمولاً توسط مهاجمان مورد هدف قرار می‌گیرد، همواره از به‌روز بودن نسخه‌های افزونه‌های نصب‌شده در WordPress اطمینان حاصل شود.
مرجع : مرکز مدیریت راهبردی افتا