Mercado abrirá em 5 h 31 min
  • BOVESPA

    105.069,69
    +603,69 (+0,58%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.597,29
    -330,11 (-0,65%)
     
  • PETROLEO CRU

    68,01
    +1,75 (+2,64%)
     
  • OURO

    1.784,50
    +0,60 (+0,03%)
     
  • BTC-USD

    48.710,33
    -822,68 (-1,66%)
     
  • CMC Crypto 200

    1.253,04
    -188,72 (-13,09%)
     
  • S&P500

    4.538,43
    -38,67 (-0,84%)
     
  • DOW JONES

    34.580,08
    -59,72 (-0,17%)
     
  • FTSE

    7.122,32
    -6,89 (-0,10%)
     
  • HANG SENG

    23.481,85
    -284,84 (-1,20%)
     
  • NIKKEI

    27.927,37
    -102,20 (-0,36%)
     
  • NASDAQ

    15.749,50
    +31,75 (+0,20%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,3779
    -0,0174 (-0,27%)
     

Sites vulneráveis com Wordpress são invadidos para exibir falso ransomware

·2 min de leitura

Um novo tipo de ataque contra sites que usam o sistema Wordpress está extorquindo administradores com um falso ataque de ransomware. A partir de técnicas combinadas, os golpistas são capazes de tirar páginas do ar, substituindo-as com um contador e a exigência de pagamento de resgate para liberação, ainda que nenhum conteúdo tenha sido efetivamente criptografado.

De acordo com o alerta feito pela empresa de cibersegurança Sucuri, cerca de 300 sites foram atingidos pela exploração. Os criminosos teriam usado credenciais roubadas, de sites vulneráveis, ou ataques de força bruta para obter acesso ao painel de administração. Na sequência, o plugin Directorist, usado para criar listagens de diretório, é utilizado para tirar todas as postagens do ar, substituindo-as pela nota de resgate.

O pacote vem completo, com direito a letras garrafais e uma contagem regressiva de, geralmente, alguns dias, assim como o endereço da carteira de criptomoedas para a qual as vítimas devem enviar valores. O resgate pedido é de 0,1 Bitcoin, aproximadamente R$ 330,2 mil e muito acima do que muitos administradores de sites são capazes de pagar.

<em>Credenciais obtidas ilegalmente são usadas para desfigurar sites, tirando páginas do ar e exigindo resgate, mas sem efetivamente criptografar conteúdo (Imagem: Reprodução/Sucuri)</em>
Credenciais obtidas ilegalmente são usadas para desfigurar sites, tirando páginas do ar e exigindo resgate, mas sem efetivamente criptografar conteúdo (Imagem: Reprodução/Sucuri)

Felizmente para as vítimas, os conteúdos não apenas não estão criptografados como nem mesmo chegam a ser deletados. Para os especialistas, bastou remover o plugin e executar um comando de recuperação para que todas as páginas e postagens voltassem ao ar, sem prejuízos nem perda de informações.

Um segundo vetor, ainda, pode ter sido solucionado pelos desenvolvedores do Directorist. Nesta semana, os desenvolvedores liberaram uma correção que impede a usuários com baixo poder rodarem códigos remotos; ainda que o plugin em si não tenha sido citado como vetor de entrada para o ataque, seria possível utilizar esse caminho para executar ataques contra as páginas em versões antigas da extensão.

A Sucuri disse ter descoberto o ataque depois que uma das vítimas contratou seus serviços de recuperação. A empresa fala em uma campanha organizada, que pode estar usando credenciais de sites obtidas na dark web, e cita outros 291 sites que podem estar suscetíveis. Por outro lado, o alto valor também fez com que a onda de golpes não fosse bem-sucedida, já que até o momento de publicação desta reportagem, a carteira usada pelos criminosos não havia recebido nenhum pagamento.

Como medidas de segurança, os especialistas recomendam trocas periódicas de senhas de acesso ao Wordpress, assim como revisões constantes nos papeis de usuários cadastrados, mudanças nos privilégios de contas inativas e olho vivo com eventuais perfis estranhos. Outros pontos de acesso a banco de dados, FTP e painéis de controle também devem receber segurança adicional, enquanto rotinas de backup ajudam no caso de um ataque real de ransomware.

Além disso, como sempre, é importante manter plugins e o próprio Wordpress sempre atualizados, já que vulnerabilidades são a principal porta de entrada para ataques contra sites e seus usuários. Usar firewalls e ferramentas de segurança também ajuda a manter a proteção em dia.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos