OzzTech - Sahte Fidye Yazılımı WordPress Sitelerini Hedefliyor

Sahte Fidye Yazılımı WordPress Sitelerini Hedefliyor

Sahte Fidye Yazılım Enfeksiyonu WordPress Sitelerini Vuruyor

Sahte fidye yazılımı yüzlerce WordPress sitesine sahte kırmızı-siyah uyarılar yapıştırdı ve şifrelendikleri konusunda uyarıldı.

Uyarılar, ilk bakışta ikna edici görünebilecek en az bir fidye yazılımı donanımına sahiptir. Bir geri sayım saati, site sahiplerini 0.1 Bitcoin'i (bu hikayenin yayınlandığı tarihte yaklaşık 6.000 ABD Doları) çatallamak için 7 gün, 10 saat, 21 dakika ve 9 saniyeye sahip oldukları konusunda uyararak, dosyalar şifrelenmeden ve geri alınamaz bir e-duman patlamasına girmeden önce vakit tanıdı.

Bu, açık kaynaklı içerik yönetim sisteminin (CMS) küçük çaplı herhangi bir kullanıcısı için iyi bir değişiklik: "En azından söylemek gerekirse, ortalama bir web sitesi sahibi için göz ardı edilebilecek bir para değil!" Sucuri güvenlik analisti Ben Martin Salı günkü bir gönderide şöyle yazdı. “Tamamen duman ve aynalar olduğu için özellikle buna dikkat edilmelidir.”

Sucuri ilk olarak Cuma günü sahte vampir filmi renkli kırmızı-siyah uyarılarını fark etti. Yavaş başladı ve sonra büyümeye başladı.Geçen hafta bir Google Araması yapmak fidye talebi için yalnızca altı sonuç verdi. "GERİ YÜKLEME için 0.1 BİTCOİN GÖNDER”. Web sitesi güvenlik hizmeti sağlayıcısı bulgularını Salı günü bildirdiğinde 291 isabete kadar çıktı.

Cızırtılı, kanlı, tam büyük harfli mesaj

Tik, Tak, Ne Saçmalık

Uyarı, açıkça, hedeflerin adrenalin pompalamasını sağlamak ve bu geri sayım saatiyle bir aciliyet duygusu uyandırmak içindi. İster romantizm dolandırıcılığından bahsediyor olun, ister kimlik bilgilerini yükseltmek için tasarlanmış sahte Amazon paket teslimat bildirimlerinden veya milyonlarca başka "Rush! Acele etmek!" dolandırıcılık

Ancak sahte fidye yazılımını izleyen ve analiz eden Sucuri araştırmacıları, hiçbir şey bulamadıklarını söyledi. Bitcoin adresini içeren bir dosya için yerinde tarama yaparken, sahte fidye yazılımı uyarısının sahte bir eklenti tarafından oluşturulan basit bir HTML sayfası olduğunu buldular “dedi./wp-content/plugins/directorist/directorist-base.php.”

Aşağıda gösterilen ve fidye mesajını oluşturmak için kullanılan "çok temel HTML'yi" gösteren bir ekran görüntüsü paylaştılar

Sahte fidye mesajı oluşturmak için kullanılan temel HTML

Geri sayım sayacına gelince, aşağıda gösterildiği gibi temel PHP tarafından oluşturuldu. Martin, tarihin “talebe daha fazla panik aşılamak için” düzenlenebileceğini yazdı. "Unutmayın millet, kimlik avı gibi çevrimiçi dolandırıcılıklarla ilgili bir numaralı kural, mağdura aciliyet duygusu uyandırıyor!”

PHP geri sayım sayacı oluşturmak için kullanılır

Siteyi Temizlemek

Enfeksiyonu kaldırmak çok kolay oldu: "Tek yapmamız gereken eklentiyi wp-content/plugins dizininden kaldırmaktı," dedi Martin. Ancak, ana web sitesi sayfasını geri aldıklarında, araştırmacılar sitenin tüm sayfalarının ve gönderilerinin “404 Bulunamadı” mesajlarına yol açtığını buldular.

Kötü amaçlı eklentinin ayrılık çekimi buydu: Sucuri'nin gönderisine göre, "yayınlama" durumundaki tüm gönderileri ve sayfaları bulan ve bunları "boş" olarak değiştiren temel bir SQL komutu içeriyordu. İçeriğin tamamı hala veritabanındaydı, ancak görüntülenemedi.

Yine, geri almak için bir çırpıda oldu: Sucuri'ye göre “Bu eşit derecede basit bir SQL komutuyla tersine çevrilebilir”.

UPDATE `wp_posts` SET `post_status` = ‘publish’ WHERE `post_status` = ‘null’;

"Bu, veritabanındaki herhangi bir içeriği null olarak işaretlenmiş olarak yayınlayacaktır." “Bu şekilde işaretlenmiş başka içeriğiniz varsa, bunu yeniden yayınlayacaktır, ancak bu kesinlikle tüm web sitesi yayınlarınızı ve sayfalarınızı kaybetmekten daha iyidir.”

Sucuri, kötü amaçlı eklentinin bir dosyaya sahip olduğunu belirtti./wp-content/ plugins/ directorist / azz_encrypt.php aslında dosya şifrelemesi için kullanılmış gibi görünüyordu, ancak araştırmacılar bu dosyayı analiz ettikleri enfeksiyonların hiçbirinde görmediler. En azından henüz değil.

WordPress Yöneticilerini Kim Korkutuyor?

Sucuri'nin müşterisi Amerika Birleşik Devletleri'nin güneyinde bulunuyordu, ancak sitelerinin erişim günlükleri, wp-admin'in eklenti düzenleyici özelliğini kullanarak kötü amaçlı eklentiyle etkileşime giren yabancı bir IP adresinden birden fazla istek gösterdi. Sucuri, "Bu, meşru eklentinin web sitesine zaten yüklendiğini ve daha sonra saldırganlar tarafından değiştirildiğini gösteriyor" dedi.

Martin, "İlginç bir şekilde, saldırganın IP adresinden gördüğümüz ilk istek wp-admin panelinden geldi, bu da onların maskaralıklarına başlamadan önce web sitesine yönetici erişimi kurduklarını düşündürdü" dedi. "Yönetici şifresini başka bir IP adresi kullanarak kaba bir şekilde zorladılar mı yoksa zaten tehlikeye atılmış oturum açma bilgilerini karaborsadan mı aldılar, herkesin tahminidir."

Korku İyi Çalışırken Fidye Yazılımına Kim İhtiyaç Duyar?

Cazibeyi görebilirsiniz. Gerçek, canlı fidye yazılımı oluşturmanın zor görevini atlayın ve doğrudan insanları korkutup kaçırdığınız kısma gidin. Artık Netwrix'in bir parçası olan Stealthbits'in teknik ürün müdürü Dan Piazza, Threatpost'a, gerçek fidye yazılımı saldırılarındaki yıllık artışın ardından sahte fidye yazılımı saldırılarını görmenin şaşırtıcı olmadığını söyledi ve “özellikle bu sahte saldırıların ne kadar düşük çabayla olabileceği düşünüldüğünde, "dedi. "Daha az yetenekli saldırganlar, artan fidye yazılımı korkusundan yararlanabilir ve iyi geliştirilmiş ve karmaşık fidye yazılımları yerine basit saldırılarla kâr etmeye çalışabilirler."

Blue Hexagon'un CTO'su ve kurucu ortağı Saumitra Das, bunu gasp kurbanlarına ilginç bir yaklaşım olarak nitelendirdi. "İş kaybından korkan site sahipleri için başarılı olabilecek bir yaklaşım.'' olduğunu söyledi.

Das, "Fidye yazılımı aktörleri, yedekleme teknolojisinin ve benimsenmesinin son birkaç yılda geliştiği göz önüne alındığında, şifreleme yerine şantaj konusunda yenilik yapıyorlar. Bu, gasp inovasyonunun başka bir örneği. Saldırganlar sadece şifrelemekle kalmıyor, aynı zamanda markayı adlandırıyor ve utandırıyor, verileri sızdırıyor, yöneticileri ve kullanıcıları da tehdit ediyor.” dedi.

Sahte Fidye Yazılımları Bile Bir Şeylerin Savunmasız Olduğunu Gösteriyor

Bir Wordpress yöneticisi olan Piazza, e- posta üzerinden saldırının sahte olmasının önemli olmadığını söyledi. Gerçek şu ki, bu WordPress siteleri gerçekten en ayrıcalıklı saldırı yüzeyleri aracılığıyla tehlikeye atıldı.

Piazza, "Saldırganlar gerçek fidye yazılımı dağıtmak isteselerdi, krallığın anahtarlarına zaten sahiplerdi" dedi.

Gerçek fidye yazılımlarına karşı tetikte olmak için Piazza, yöneticilerin sitelerinin CMS'ye, kullandıkları eklentilere ve kaynak kodlarında uyguladıkları tüm kitaplıklara veya çerçevelere yönelik en son güncellemeleri çalıştırdığından emin olmalarını tavsiye etti.

“Birçok web sitesi yazılımlarının eski sürümlerinde kaldığından, yama uygulanmış sıfır gün açıkları saldırganlar için hala büyük bir hedef” dedi.

Piazza, "Ayrıcalıklı yöneticilerin sayısını ve hatta bu yöneticilerin yaşam döngüsünü sınırlamak için erişim yönetimi de çok önemlidir," diye devam etti Piazza. "Privileged Access Management yazılımı, tam zamanında izinler ve hatta yalnızca gerektiğinde var olan yönetici hesapları sağlayarak burada yardımcı olabilir."

Planlanmış yedeklemeler de bir zorunluluktur, dedi. "Yedeklemeler web sitesi sunucularından tamamen ayrı depolanırsa, güvenlik ihlali durumunda yeniden çalışmaya başlamak kolaydır."

Fidye yazılımı ile ilgili diğer makalelerimizi okumak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.