Ciberdelincuentes están hackeando sitios de WordPress con falsos ataques de ransomware

Una nueva ola de ataques que comenzó a finales de la semana pasada ha hackeado cerca de 300 sitios de WordPress para mostrar falsos avisos de cifrado. El objetivo es engañar a los propietarios del sitio para que paguen 0.1 bitcoin por la restauración.

Las advertencias tienen al menos un indicio de ransomware que puede parecer convincente a primera vista. Hablamos de un temporizador con cuenta regresiva que hace tic-tac, advirtiendo a los propietarios del sitio que tienen siete días, 10 horas, 21 minutos y 9 segundos para desembolsar 0.1 Bitcoin. Es decir,  alrededor de USD $6,000 en el momento en que se escribió esta nota. El propietario debe pagar antes de que los archivos se cifren y se conviertan en una irrecuperable bocanada de humo electrónico.

Si bien la demanda de rescate de 0.1 bitcoin (~ $6,069.23) no es particularmente significativa en comparación con lo que vemos en los ataques de ransomware de alto perfil, aún puede ser una cantidad considerable para muchos propietarios de sitios web.

Humo y espejos

“¡No es una suma insignificante de dinero para el propietario promedio de un sitio web, por ejemplo!. Sin embargo, no es tan grave, dado que todo es humo y espejos.

Ben Martin, analista de seguridad de Sucuri.

Sucuri notó por primera vez las advertencias falsas de color rojo y negro, similares a las películas de vampiros el viernes. Comenzó lento, y luego comenzó a crecer. Cuando ejecutamos una búsqueda en Google la semana pasada arrojó solo seis resultados para la demanda de rescate: “FOR RESTORE SEND 0.1 BITCOIN”. No obstante para este martes habían reportes de al menos 291 sitios afectados.

El alarmante mensaje es el siguiente:

SITE ENCRYPTED
FOR RESTORE SEND 0.1 BITCOIN: [dirección]
(create file on site /unlock.txt with transaction key inside)

Afortunadamente, antes de pagar, al menos un administrador de un sitio web reportó la advertencia de “ransomware” a Sucuri.

Advertencia creíble 

La advertencia claramente tenía la intención de hacer que la adrenalina de los objetivos bombeara, inculcando una sensación de urgencia con ese temporizador con cuenta regresiva. Es una herramienta probada y verdadera en los kits de los estafadores, ya sea que se trate de estafas románticas o avisos falsos de entrega de paquetes de Amazon. 

Pero los investigadores de Sucuri que rastrearon y analizaron el ransomware falso dijeron que no encontraron muchos detalles. Al ejecutar un escaneo en el sitio de un archivo que contenía la dirección de bitcoin, no encontraron nada sofisticado. Ellos encontraron que la alerta falsa de ransomware era solo una simple página HTML generada por un plugin falso, “./wp-content/plugins/directorist/directorist-base. php”.

A continuación puedes ver una captura de pantalla que muestra el “HTML muy básico” utilizado para generar el mensaje de rescate:

En lo que respecta al temporizador con cuenta regresiva, fue generado por PHP básico, como se muestra a continuación. La fecha podría editarse para infundir más pánico en la solicitud. Recuerden amigos, la regla número uno sobre las estafas en línea como el phishing es inculcar un sentido de urgencia a la víctima.

Limpieza del sitio

Eliminar la infección fue muy fácil: “Todo lo que tuvimos que hacer fue eliminar el plugin del directorio wp-content/plugins“, dijo Martin. Sin embargo, una vez que recuperaron la página principal del sitio web, los investigadores descubrieron que todas las páginas y publicaciones del sitio conducían a mensajes “404 Not Found”.

Esa era la “despedida” del plugin malicioso. Este incluía un comando SQL básico que encontraba cualquier publicación y página con el estado “publicado” y las cambiaba a “nulo”. Todo el contenido estaba todavía en la base de datos, pero no se podía ver.

Una vez más, fue muy fácil deshacerlo: “Esto se puede revertir con un comando SQL igualmente simple”, según Sucuri. El comando es el siguiente:

UPDATE `wp_posts` SET `post_status` = ‘publish’ WHERE `post_status` = ‘null’;

El comando publica cualquier contenido en la base de datos marcado como nulo. Si tienes otro contenido marcado como tal, lo volverá a publicar, pero sin duda es mejor que perder todas las publicaciones y páginas de tu sitio web.

Sucuri notó que el plugin malicioso tenía un archivo, ./wp-content/plugins/directorist/azz_encrypt.php, que parecía que en realidad podría usarse para el cifrado de archivos. Sin embargo,los investigadores no vieron ese archivo en ninguna de las infecciones que analizaron, al menos, todavía no.

¿Quién está asustando a los administradores de WordPress?

El cliente de Sucuri estaba ubicado en el sur de los Estados Unidos. Sin embargo, los registros de acceso de su sitio mostraban múltiples solicitudes de una dirección IP extranjera que interactuaba con el plugin malicioso utilizando la función de editor de complementos de wp-admin. “Esto sugiere que el plugin legítimo ya estaba instalado en el sitio web y luego fue manipulado por los atacantes”, dijo Sucuri.

“Curiosamente, la primera solicitud que vimos de la dirección IP del atacante fue del panel de administración de wp. Esto sugiere que ya habían establecido el acceso de administrador al sitio web antes de comenzar sus travesuras. Si habían usaron fuerza bruta para encontrar la contraseña de administrador usando otra dirección IP o si habían adquirido el inicio de sesión ya comprometido en la dark web es una incógnita”.

¿Quién necesita ransomware cuando el miedo funciona bien?

Este ataque es novedoso. Omitir la complicada tarea de crear ransomware real y en vivo, y simplemente dirigirse directamente a la parte en la que asustas a la gente. En realidad,  no es sorprendente ver ataques de ransomware falsos a raíz del aumento anual de los ataques de ransomware reales, especialmente considerando el bajo esfuerzo que pueden implicar estos ataques falsos. Los atacantes menos hábiles pueden aprovechar el creciente miedo al ransomware y tratar de obtener ganancias con hacks simples. Esto en lugar de utilizar ransomware bien desarrollado y complejo.

La investigadora Saumitra Dasde Blue Hexagon dijo que esta es una versión interesante de extorsión a las víctimas. Según ella, es un intento que “puede tener éxito en propietarios de sitios que temen perder su negocio”.

Los actores del ransomware están innovando en la extorsión en lugar del cifrado, dado que la tecnología de copias de seguridad y su adopción ha mejorado en los últimos años. Este es solo otro ejemplo de innovación en la extorsión. Los atacantes no solo están cifrando, sino también nombrando y avergonzando a la víctima, exfiltrando datos, amenazando a ejecutivos y usuarios también.

Incluso el ransomware falso muestra las vulnerabilidades

En resumen, no importa que este ataque fuese falso. El hecho es que estos sitios de WordPress se vieron comprometidos a través de su superficie de ataque más privilegiada: “un administrador de WordPress”. 

Si los atacantes hubiesen querido implementar un ransomware real, entonces ya habrían logrado su objetivo. 

Para mantenerse protegido contra el ransomware real, recomendamos que los administradores se aseguren de que sus sitios estén ejecutando las últimas actualizaciones del CMS. Asimismo, deben actualizar los plugins que estén usando y las bibliotecas o frameworks que hayan implementado en su código fuente.

Los exploits de día cero parcheados siguen siendo un gran objetivo para los atacantes, ya que muchos sitios web no actualizan su software. 

Contramedidas

La administración de acceso también es esencial para limitar la cantidad de administradores con privilegios o incluso el ciclo de vida de esos administradores. El software de administración de acceso privilegiado puede ayudar aquí, ya que proporciona permisos justo a tiempo e incluso cuentas de administrador que solo existen cuando se necesitan.

Las copias de seguridad programadas también son imprescindibles. Si las copias de seguridad se almacenan completamente separadas de los servidores del sitio web, es fácil volver a ponerlas en funcionamiento en caso de que se produzcan problemas.

También sugerimos utilizar la autenticación multifactor (MFA) para todas las credenciales privilegiadas. Un informe reciente de Microsoft afirma que MFA puede bloquear más del 99.9% de los ataques de compromiso de cuentas.

Actualización

En las últimas horas han publicado una solución para el complemento Directorist que reparó un error que permitía a los usuarios con pocos privilegios ejecutar código arbitrario y realizar otras acciones. Este error es una posible fuente de los ataques de advertencia de ransomware falso.

Esto sugiere que MFA no abordaría el problema posiblemente subyacente y que los atacantes podrían realizar con éxito el ataque nuevamente si se encuentran con sitios que aún ejecutan la versión más antigua y vulnerable del plugin Directorist. Por lo tanto, la actualización del plugin es una prioridad y, lo mismo ocurre con el CMS y cualquier biblioteca o framework.