Una nuova ondata di cyber attacchi, iniziata verso la fine della scorsa settimana, ha danneggiato quasi 300 siti WordPress in tutto il mondo, mostrando agli amministratori degli stessi un falso avviso molto simile a quello tipicamente utilizzato dai ransomware per informare le vittime che il loro sistema è stato crittografato.
Questo escamotage è servito agli attacker per indurre i proprietari di ogni sito a pagare un “riscatto” pari a 0,1 bitcoin per il ripristino dello stesso. Una somma (pari a circa 5.256,08 euro al cambio attuale nel momento in cui scriviamo l’articolo) sicuramente minima rispetto a quelle richieste negli attacchi ransomware di alto profilo (ad esempio, nel recente attacco alla catena di negozi di tecnologia MediaMarkt/MediaWorld la somma inizialmente richiesta dagli attaccanti pare essere stata di 240 milioni di dollari, poi scesi a 50 milioni), ma comunque considerevole per molti proprietari di siti Web di piccole realtà aziendali.
Indice degli argomenti
Come funziona la nuova truffa
In realtà, i siti Web WordPress non sono stati effettivamente crittografati, ma piuttosto gli attori delle minacce hanno modificato il plug-in Directorist (utilizzato per creare elenchi di directory aziendali online) installato in questi siti per visualizzare una richiesta di riscatto e un conto alla rovescia per creare nell’ignara vittima un senso di allerta necessario per indurlo ad abbassare la guardia e procedere così con il pagamento per poter riottenere il controllo del sito.
Oltre a visualizzare una richiesta di riscatto, il plug-in modificava tutti i post del blog di WordPress e impostava il loro “post_status” su “null”, configurandoli quindi in uno stato di non pubblicazione.
Così facendo, gli attaccanti sono riusciti a creare un inganno molto semplice ma efficace, in cui il sito colpito dall’attacco si presentava effettivamente come se fosse stato realmente crittografato.
Rimuovendo il plugin ed eseguendo un comando per ripubblicare i post e le pagine, il sito tornava perfettamente funzionante.
Dopo un’ulteriore analisi dei registri del traffico di rete, si è quindi scoperto che il primo punto in cui appariva l’indirizzo IP dell’attaccante era il pannello wp-admin; ciò significa che gli infiltrati hanno effettuato l’accesso come amministratori sul sito WordPress, forzando la password o procurandosi credenziali d’accesso rubate in precedenti data breach e successivamente venduti nel mercato nero del Dark Web.
Da segnalare, comunque, che gli attacchi finora rilevati non sono isolati ma sembra invece essere parte di una campagna malevola molto più ampia.
Per fortuna, l’indirizzo 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc Bitcoin utilizzato per gli eventuali pagamenti dei riscatti non ha finora ricevuto alcun accredito da parte delle vittime.
Come proteggere il proprio sito web
Come sappiamo, il sito web è determinante per la presenza online di qualsiasi azienda e contiene diversi dati sensibili: per questo è importante che lo stesso sia mantenuto sicuro e aggiornato.
Ecco alcuni consigli per la sicurezza dei siti WordPress e utili per proteggersi dai cyber attacchi:
- proteggere la pagina d’accesso di amministratore, l’accesso wp-admin;
- esaminare gli utenti amministratori sul sito e rimuovere eventuali account non utilizzati o fasulli;
- utilizzare per ogni utente password sicure;
- aggiornare/modificare periodicamente tutte le password degli utenti amministratori;
- attivare l’autenticazione a due fattori per gli utenti amministratori;
- utilizzare password differenti per le varie componenti che compongono il sito (database, FTP, cPanel ecc.);
- attivare backup periodici ed affidabili che permettano di ripristinare in caso di attacco;
- importantissimo, infine, mantenere aggiornato alla versione più recente il Core di WordPress, il tema e tutti i plugin.