Sta girando su WordPress un finto attacco ransomware che truffa i proprietari di siti web

Sta girando su WordPress un finto attacco ransomware che truffa i proprietari di siti web

La scorsa settimana è stata registrata una pericolosa serie di cyber attacchi, che ha portato danni a quasi 300 siti WordPress in tutto il mondo. Gli amministratori hanno ricevuto un falso avviso, che richiamava quello usato in genere dai ransomware, con l’obiettivo di mettere a conoscenza gli stessi dell’avvenuto attacco al sistema. Attraverso questa strategie, gli organizzatori dell’hackeraggio hanno portato i diversi proprietari dei siti a corrispondere  un “riscatto” di 0,1 bitcoin per il ripristino del loro spazio online. La cifra richiesta rappresenta una somma irrisoria rispetto a quella che i veri professionisti nel settore del ransomware chiedono realmente. Allo stesso tempo, però, rappresenta una somma elevata per i proprietari di siti Web, che operano in aziende ed imprese molto piccole.

Tuttavia, è stato scoperto che i siti Web WordPress non sono stati attaccati, né sono stati oggetto di azioni di crittografia. Più semplicemente, gli autori degli attacchi hanno agito sul “plug-in Directorist”, modificandolo. Esso era “installato in questi siti per visualizzare una richiesta di riscatto e un conto alla rovescia per creare nell’ignara vittima un senso di allerta necessario per indurlo ad abbassare la guardia e procedere così con il pagamento per poter riottenere il controllo del sito”. Lo stesso plug – in aveva non solo il compito di mettere in evidenza la richiesta di riscatto, ma anche quello di apportare modifiche ai post del blog di WordPress. Esso, infatti, attivando il comando “post_status” su “null”, ne ostacolava la pubblicazione dei contenuti.

Agendo su questo plug – in e bloccando la pubblicazione dei contenuti dei siti WordPress, gli hacker hanno messo in campo una strategia ingannevole semplice, ma in grado di perseguire gli scopi prefissati, perché il sito colpito aveva davvero l’aspetto di una piattaforma crittografata. Infatti, se il plug – in fosse stato eliminato, il sito sarebbe tornato al suo normale funzionamento, con post, contenuti e pagine pubblicate in assoluta normalità. Pertanto, in seguito a studi ed indagini più approfondite sui registri del traffico di rete, è emerso che “il primo punto in cui appariva l’indirizzo IP dell’attaccante era il pannello wp-admin; ciò significa che gli infiltrati hanno effettuato l’accesso come amministratori sul sito WordPress, forzando la password o procurandosi credenziali d’accesso rubate in precedenti data breach e successivamente venduti nel mercato nero del Dark Web.

Gli hackeraggi registrati negli ultimi giorni non appaiono come episodi singoli e isolati; piuttosto, sembrano il frutto di attacchi studiati e parte di un’organizzazione strutturata, con l’obiettivo di mettere sotto scacco il più ampio numero di siti. Le indagini portate avanti al momento hanno evidenziato, però, che il link “3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc Bitcoin”, segnalato come sito a cui far giungere le quote dei riscatti da parte dei proprietari di siti messi sotto attacco, non ha fatto registrare alcun versamento in soldi da parte delle vittime.