Segurança

Sites do WordPress são hackeados por falso ransomware

Os hackers alteraram um plugin do WordPress para simular um ransomware, atingindo mais de 300 vítimas em apenas uma semana

Avatar do(a) autor(a): Jorge Marin

18/11/2021, às 14:30

Sites do WordPress são hackeados por falso ransomware

Fonte:  Sucuri 

Imagem de Sites do WordPress são hackeados por falso ransomware no tecmundo

Hackers têm promovido ataques sistemáticos a sites hospedados no WordPress. Somente na semana passada, 300 deles passaram a exibir mensagens de que haviam sido criptografados, conforme divulgou o Bleeping Computer na terça-feira (16). O mais curioso, segundo o site, é que não havia nenhum tipo de criptografia, mas um aviso real de pedido de resgate para restauração, de 0,1 Bitcoin, o equivalente a R$ 33 mil.

Apesar de o valor ser baixo, se comparado ao fixado em ataques de ransomware de alto perfil, ainda representa um impacto significativo para muitos proprietários de sites do serviço de hospedagem. E o que mais perturba nesses pedidos de resgate no WordPress é que eles vêm acompanhados de um cronômetro de contagem regressiva, para suscitar um sentido de urgência que desorienta o administrador da web. 

Contratada por uma das vítimas, a empresa de segurança cibernética brasileira Sucuri investigou os ataques e descobriu que, na verdade, os sites nunca foram criptografados. O que os hackers fizeram foi uma modificação em um plugin do próprio WordPress já instalado, para que o código passasse a exibir a tal nota de resgate. 

Como os hackers criaram um ataque falso de ransomware?

Fonte: Sucuri/ReproduçãoFonte: Sucuri/Reprodução

O plugin modificado pelos invasores dos sites do WordPress não só exibe uma nota de resgate como também faz modificações em todas as postagens do blog, alterando o 'post_status' para 'null', ou seja, alterando o estado delas para "não publicado". A princípio, é como se o site inteiro tivesse sido criptografado, mas tão logo os especialistas removeram o plugin e executaram um comando para republicar os posts, o site voltou ao normal. 

Após rastrear cerca de 291 sites infectados, a Sucuri identificou o plugin Directorist modificado como a origem dos ataques. Em uma atualização feita pelo Bleeping Computer, o site informa ter recebido uma dica sobre uma correção recente do referido plugin, abordando justamente um bug que permitia execução de códigos arbitrários por usuários com baixos privilégios, o que parece confirmar o relatório da Sucuri.



Avatar do(a) autor(a): Jorge Marin

Jorge Marin

Especialista em Redator

Redator do Mega Curioso e do TecMundo, Jorge Marin escreve sobre Ciências e Tecnologia desde 2019, conectando conhecimento acadêmico com experiências humanas do dia a dia. É psicólogo, cinéfilo e botafoguense inveterado.