Une nouvelle vague d’attaques qui a débuté à la fin de la semaine dernière a piraté près de 300 sites WordPress pour afficher de faux avis de cryptage, essayant d’amener les propriétaires de sites à payer 0,1 bitcoin pour la restauration.
Ces demandes de rançon sont accompagnées d’un compte à rebours pour induire un sentiment d’urgence et éventuellement faire paniquer un administrateur Web pour qu’il paie la rançon.
Bien que la demande de rançon de 0,1 bitcoin (~ 6 069,23 $) ne soit pas particulièrement importante par rapport à ce que nous voyons sur les attaques de ransomware de grande envergure, elle peut toujours représenter un montant considérable pour de nombreux propriétaires de sites Web.
Source : Sucuri
Fumée et miroirs
Ces attaques ont été découvertes par la société de cybersécurité Sucuri, qui a été embauchée par l’une des victimes pour répondre aux incidents.
Les chercheurs ont découvert que les sites Web n’avaient pas été cryptés, mais que les acteurs de la menace ont plutôt modifié un plugin WordPress installé pour afficher une demande de rançon et un compte à rebours lorsque
Source : Sucuri
En plus d’afficher une demande de rançon, le plugin modifierait tous les articles de blog WordPress et définirait leur « post_status » sur « null », les faisant passer à un état non publié.
En tant que tels, les acteurs ont créé une illusion simple mais puissante qui donnait l’impression que le site avait été crypté.
En supprimant le plugin et en exécutant une commande pour republier les articles et les pages, le site est revenu à son statut normal.
Après une analyse plus poussée des journaux de trafic réseau, Sucuri a constaté que le premier point où l’adresse IP de l’acteur est apparue était le panneau wp-admin.
Cela signifie que les infiltrés se sont connectés en tant qu’administrateurs sur le site, soit en forçant brutalement le mot de passe, soit en recherchant des informations d’identification volées sur les marchés du dark web.
Il ne s’agissait pas d’une attaque isolée, mais semble plutôt faire partie d’une campagne plus large, donnant plus de poids au deuxième scénario.
Quant au plugin vu par Sucuri, il s’agissait de Directorist, qui est un outil permettant de créer des listes d’annuaires d’entreprises en ligne sur des sites.
Sucuri a suivi environ 291 sites Web touchés par cette attaque, avec une recherche Google montrant un mélange de sites nettoyés et de ceux affichant encore des demandes de rançon.
Tous les sites vus par EZpublish-france.fr dans les résultats de recherche utilisent le même 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc Adresse Bitcoin, qui n’a reçu aucun paiement de rançon.
Protection contre les cryptages du site
Sucuri suggère les pratiques de sécurité suivantes pour protéger les sites WordPress contre le piratage :
- Passez en revue les utilisateurs administrateurs sur le site, supprimez tous les faux comptes et mettez à jour/modifiez tous les mots de passe wp-admin.
- Sécurisez votre page d’administrateur wp-admin.
- Modifiez les mots de passe des autres points d’accès (base de données, FTP, cPanel, etc.).
- Placez votre site Web derrière un pare-feu.
- Suivez des pratiques de sauvegarde fiables qui faciliteront la restauration en cas d’incident de chiffrement réel.
Comme WordPress est généralement ciblé par les acteurs de la menace, il est également important de s’assurer que tous vos plugins installés exécutent la dernière version.