Sahte fidye yazılımı yüzlerce WordPress sitesine sahte kırmızı-siyah uyarılar yapıştırdı ve şifrelendikleri konusunda uyarıldı.
Uyarılar, ilk bakışta ikna edici görünebilecek en az bir fidye yazılımı donanımına sahiptir. Bir geri sayım saati, site sahiplerini 0.1 Bitcoin’i (bu hikayenin yayınlandığı tarihte yaklaşık 6.000 ABD Doları) çatallamak için 7 gün, 10 saat, 21 dakika ve 9 saniyeye sahip oldukları konusunda uyararak, dosyalar şifrelenmeden ve geri alınamaz bir e-duman patlamasına girmeden önce vakit tanıdı.
Bu, açık kaynaklı içerik yönetim sisteminin (CMS) küçük çaplı herhangi bir kullanıcısı için iyi bir değişiklik: “En azından söylemek gerekirse, ortalama bir web sitesi sahibi için göz ardı edilebilecek bir para değil!” Sucuri güvenlik analisti Ben Martin Salı günkü bir gönderide şöyle yazdı. “Tamamen duman ve aynalar olduğu için özellikle buna dikkat edilmelidir.”
Sucuri ilk olarak Cuma günü sahte vampir filmi renkli kırmızı-siyah uyarılarını fark etti. Yavaş başladı ve sonra büyümeye başladı.Geçen hafta bir Google Araması yapmak fidye talebi için yalnızca altı sonuç verdi. “GERİ YÜKLEME için 0.1 BİTCOİN GÖNDER”. Web sitesi güvenlik hizmeti sağlayıcısı bulgularını Salı günü bildirdiğinde 291 isabete kadar çıktı.
Cızırtılı, kanlı, tam büyük harfli mesaj
Tik, Tak, Ne Saçmalık
Uyarı, açıkça, hedeflerin adrenalin pompalamasını sağlamak ve bu geri sayım saatiyle bir aciliyet duygusu uyandırmak içindi. İster romantizm dolandırıcılığından bahsediyor olun, ister kimlik bilgilerini yükseltmek için tasarlanmış sahte Amazon paket teslimat bildirimlerinden veya milyonlarca başka “Rush! Acele etmek!” dolandırıcılık
Ancak sahte fidye yazılımını izleyen ve analiz eden Sucuri araştırmacıları, hiçbir şey bulamadıklarını söyledi. Bitcoin adresini içeren bir dosya için yerinde tarama yaparken, sahte fidye yazılımı uyarısının sahte bir eklenti tarafından oluşturulan basit bir HTML sayfası olduğunu buldular “dedi./wp-content/plugins/directorist/directorist-base.php.”
Aşağıda gösterilen ve fidye mesajını oluşturmak için kullanılan “çok temel HTML’yi” gösteren bir ekran görüntüsü paylaştılar
Sahte fidye mesajı oluşturmak için kullanılan temel HTML
Geri sayım sayacına gelince, aşağıda gösterildiği gibi temel PHP tarafından oluşturuldu. Martin, tarihin “talebe daha fazla panik aşılamak için” düzenlenebileceğini yazdı. “Unutmayın millet, kimlik avı gibi çevrimiçi dolandırıcılıklarla ilgili bir numaralı kural, mağdura aciliyet duygusu uyandırıyor!”
PHP geri sayım sayacı oluşturmak için kullanılır
Siteyi Temizlemek
Enfeksiyonu kaldırmak çok kolay oldu: “Tek yapmamız gereken eklentiyi wp-content/plugins dizininden kaldırmaktı,” dedi Martin. Ancak, ana web sitesi sayfasını geri aldıklarında, araştırmacılar sitenin tüm sayfalarının ve gönderilerinin “404 Bulunamadı” mesajlarına yol açtığını buldular.
Kötü amaçlı eklentinin ayrılık çekimi buydu: Sucuri’nin gönderisine göre, “yayınlama” durumundaki tüm gönderileri ve sayfaları bulan ve bunları “boş” olarak değiştiren temel bir SQL komutu içeriyordu. İçeriğin tamamı hala veritabanındaydı, ancak görüntülenemedi.
Yine, geri almak için bir çırpıda oldu: Sucuri’ye göre “Bu eşit derecede basit bir SQL komutuyla tersine çevrilebilir”.
UPDATE `wp_posts` SET `post_status` = ‘publish’ WHERE `post_status` = ‘null’;
“Bu, veritabanındaki herhangi bir içeriği null olarak işaretlenmiş olarak yayınlayacaktır.” “Bu şekilde işaretlenmiş başka içeriğiniz varsa, bunu yeniden yayınlayacaktır, ancak bu kesinlikle tüm web sitesi yayınlarınızı ve sayfalarınızı kaybetmekten daha iyidir.”
Sucuri, kötü amaçlı eklentinin bir dosyaya sahip olduğunu belirtti./wp-content/ plugins/ directorist / azz_encrypt.php aslında dosya şifrelemesi için kullanılmış gibi görünüyordu, ancak araştırmacılar bu dosyayı analiz ettikleri enfeksiyonların hiçbirinde görmediler. En azından henüz değil.
WordPress Yöneticilerini Kim Korkutuyor?
Sucuri’nin müşterisi Amerika Birleşik Devletleri’nin güneyinde bulunuyordu, ancak sitelerinin erişim günlükleri, wp-admin’in eklenti düzenleyici özelliğini kullanarak kötü amaçlı eklentiyle etkileşime giren yabancı bir IP adresinden birden fazla istek gösterdi. Sucuri, “Bu, meşru eklentinin web sitesine zaten yüklendiğini ve daha sonra saldırganlar tarafından değiştirildiğini gösteriyor” dedi.
Martin, “İlginç bir şekilde, saldırganın IP adresinden gördüğümüz ilk istek wp-admin panelinden geldi, bu da onların maskaralıklarına başlamadan önce web sitesine yönetici erişimi kurduklarını düşündürdü” dedi. “Yönetici şifresini başka bir IP adresi kullanarak kaba bir şekilde zorladılar mı yoksa zaten tehlikeye atılmış oturum açma bilgilerini karaborsadan mı aldılar, herkesin tahminidir.”
Korku İyi Çalışırken Fidye Yazılımına Kim İhtiyaç Duyar?
Cazibeyi görebilirsiniz. Gerçek, canlı fidye yazılımı oluşturmanın zor görevini atlayın ve doğrudan insanları korkutup kaçırdığınız kısma gidin. Artık Netwrix’in bir parçası olan Stealthbits’in teknik ürün müdürü Dan Piazza, Threatpost’a, gerçek fidye yazılımı saldırılarındaki yıllık artışın ardından sahte fidye yazılımı saldırılarını görmenin şaşırtıcı olmadığını söyledi ve “özellikle bu sahte saldırıların ne kadar düşük çabayla olabileceği düşünüldüğünde, “dedi. “Daha az yetenekli saldırganlar, artan fidye yazılımı korkusundan yararlanabilir ve iyi geliştirilmiş ve karmaşık fidye yazılımları yerine basit saldırılarla kâr etmeye çalışabilirler.”
Blue Hexagon’un CTO’su ve kurucu ortağı Saumitra Das, bunu gasp kurbanlarına ilginç bir yaklaşım olarak nitelendirdi. “İş kaybından korkan site sahipleri için başarılı olabilecek bir yaklaşım.” olduğunu söyledi.
Das, “Fidye yazılımı aktörleri, yedekleme teknolojisinin ve benimsenmesinin son birkaç yılda geliştiği göz önüne alındığında, şifreleme yerine şantaj konusunda yenilik yapıyorlar. Bu, gasp inovasyonunun başka bir örneği. Saldırganlar sadece şifrelemekle kalmıyor, aynı zamanda markayı adlandırıyor ve utandırıyor, verileri sızdırıyor, yöneticileri ve kullanıcıları da tehdit ediyor.” dedi.
Sahte Fidye Yazılımları Bile Bir Şeylerin Savunmasız Olduğunu Gösteriyor
Bir WordPress yöneticisi olan Piazza, e- posta üzerinden saldırının sahte olmasının önemli olmadığını söyledi. Gerçek şu ki, bu WordPress siteleri gerçekten en ayrıcalıklı saldırı yüzeyleri aracılığıyla tehlikeye atıldı.
Piazza, “Saldırganlar gerçek fidye yazılımı dağıtmak isteselerdi, krallığın anahtarlarına zaten sahiplerdi” dedi.
Gerçek fidye yazılımlarına karşı tetikte olmak için Piazza, yöneticilerin sitelerinin CMS’ye, kullandıkları eklentilere ve kaynak kodlarında uyguladıkları tüm kitaplıklara veya çerçevelere yönelik en son güncellemeleri çalıştırdığından emin olmalarını tavsiye etti.
“Birçok web sitesi yazılımlarının eski sürümlerinde kaldığından, yama uygulanmış sıfır gün açıkları saldırganlar için hala büyük bir hedef” dedi.
Piazza, “Ayrıcalıklı yöneticilerin sayısını ve hatta bu yöneticilerin yaşam döngüsünü sınırlamak için erişim yönetimi de çok önemlidir,” diye devam etti Piazza. “Privileged Access Management yazılımı, tam zamanında izinler ve hatta yalnızca gerektiğinde var olan yönetici hesapları sağlayarak burada yardımcı olabilir.”
Planlanmış yedeklemeler de bir zorunluluktur, dedi. “Yedeklemeler web sitesi sunucularından tamamen ayrı depolanırsa, güvenlik ihlali durumunda yeniden çalışmaya başlamak kolaydır.”
Fidye yazılımı ile ilgili diğer makalelerimizi okumak için tıklayabilirsiniz.