Sites do WordPress são hackeados por falso ransomware

1 min de leitura
Imagem de: Sites do WordPress são hackeados por falso ransomware
Imagem: Sucuri
Avatar do autor

Hackers têm promovido ataques sistemáticos a sites hospedados no WordPress. Somente na semana passada, 300 deles passaram a exibir mensagens de que haviam sido criptografados, conforme divulgou o Bleeping Computer na terça-feira (16). O mais curioso, segundo o site, é que não havia nenhum tipo de criptografia, mas um aviso real de pedido de resgate para restauração, de 0,1 Bitcoin, o equivalente a R$ 33 mil.

Apesar de o valor ser baixo, se comparado ao fixado em ataques de ransomware de alto perfil, ainda representa um impacto significativo para muitos proprietários de sites do serviço de hospedagem. E o que mais perturba nesses pedidos de resgate no WordPress é que eles vêm acompanhados de um cronômetro de contagem regressiva, para suscitar um sentido de urgência que desorienta o administrador da web.

Contratada por uma das vítimas, a empresa de segurança cibernética brasileira Sucuri investigou os ataques e descobriu que, na verdade, os sites nunca foram criptografados. O que os hackers fizeram foi uma modificação em um plugin do próprio WordPress já instalado, para que o código passasse a exibir a tal nota de resgate.

Como os hackers criaram um ataque falso de ransomware?

Fonte: Sucuri/ReproduçãoFonte: Sucuri/ReproduçãoFonte:  Sucuri 

O plugin modificado pelos invasores dos sites do WordPress não só exibe uma nota de resgate como também faz modificações em todas as postagens do blog, alterando o 'post_status' para 'null', ou seja, alterando o estado delas para "não publicado". A princípio, é como se o site inteiro tivesse sido criptografado, mas tão logo os especialistas removeram o plugin e executaram um comando para republicar os posts, o site voltou ao normal.

Após rastrear cerca de 291 sites infectados, a Sucuri identificou o plugin Directorist modificado como a origem dos ataques. Em uma atualização feita pelo Bleeping Computer, o site informa ter recebido uma dica sobre uma correção recente do referido plugin, abordando justamente um bug que permitia execução de códigos arbitrários por usuários com baixos privilégios, o que parece confirmar o relatório da Sucuri.