Ransomware pone su foco en WordPress

Hoy hablamos de Ransomware en WordPress. En el entorno virtual en el que vivimos actualmente, cada vez más nos encontramos con situaciones complicadas para las que no tenemos soluciones inmediatas, y a veces no las tenemos ni a corto plazo. Dichas situaciones ocurren a nivel particular, casi siempre por el desconocimiento del impacto negativo que se tiene al navegar por internet de forma no segura.

Pero las que, quizás, afectan más por la repercusión que tienen, son las provocadas en el entorno empresarial, que curiosamente, nos vienen dadas por el mismo motivo que a nivel particular, la falta de conocimiento en nuestras acciones diarias dentro de los entornos y sistemas laborales de nuestras empresas.

La única diferencia es que en el entorno empresarial ya “se presupone” que los Departamentos TI tienen bien delimitados sus entornos críticos. Aunque como siempre digo, hay dos tipos de empresas: las que han sido atacadas y las que aún no lo saben.

Hace unos dias te hablaba de TrafficTrade pero hoy quiero centrarme en un tema que está teniendo cada vez más penetración de ataques por el foco que ponen los ciberdelicuentes (que no hackers) debido a la gran mayoría de webs creadas con WordPress. Esta técnica, de la que ya he hablado anteriormente es por ataques de Ransomware en entornos WordPress. Os recomiendo el libro de Daniel Martín Maldonado, Máxima Seguridad en WordPress. En este libro se proporcionan las mejores prácticas relacionadas a la seguridad del sitio web, a través de la aplicación de las sentencias precisas.

Esta semana, el equipo de Wordfence ha publicado un artículo muy interesante sobre el ransomware que se utiliza en ataques dirigidos a WordPress. Han detectado una variante de ransomware que llaman “Ransomware EV“. A continuación, os comento lo que ejecuta este ransomware y cómo protegerse de ser atacado. Pero antes de nada…

Breve introducción a Ransomware

¿Qué es Ransomware? Es un software malicioso que un atacante instala en su computadora, en su servidor o en incluso una LAN (sin interacción del usuario) y cuyo objetivo es la encriptación de ficheros para solicitar a cambio un rescate económico (generalmente a través de bitcoin ya que ofrece a los atacantes una manera de cobrar de forma anónima en la que se puede pagar el rescate), a cambio de desencriptar la información secuestrada. Para ello usan, diversas formas de acceso, principalmente a través de mail para atacar un exploit y obtener acceso a su sistema, y ​​luego ejecuta el ransomware, por lo general automáticamente.

Ransomware ha existido desde hace mucho tiempo. Originalmente se remonta a 1989 con el “PC Cyborg trojan horse virus” que extorsionaba a sus víctimas a enviar 189 dólares ($) a un PO Box en Panamá para obtener sus archivos descifrados. El cifrado en ese virus era fácilmente crackeable.

Actualmente, Ransomware hoy está creciendo rápidamente. En 2017, 100 nuevas variantes de rescate fueron lanzadas, y hubo un aumento de 36% año tras año en los ataques de ransomware en todo el mundo. La demanda promedio de ransomware aumentó un 266% a un promedio de 1077 dólares ($) por víctima. [Fuente: Symantec Threat Report 2017]

Este año hemos visto ataques de ransomware a una escala que habría sido difícil de imaginar hace varios años. En mayo de este año, el ataque al ransomware de WannaCry afectó a cientos de miles de personas en más de 150 países. El sistema de salud nacional del Reino Unido se vio afectado y tuvo que desviar las ambulancias de los hospitales afectados.

En junio vimos que Petya (finalmente llamado NotPetya o Netya) se extendió prácticamente en tiempo real, comenzando en Ucrania y un gran número de organizaciones privadas y públicas fueron afectadas, incluyendo la Compañía Estatal de Energía de Ucrania,  la compañía naviera Maersk y el gigante de la alimentación Mondelez.

Hoy en día un gran número de personas afectadas y organizaciones de hecho han pagado a los atacantes cuando son atacados por ransomware, y a veces sus archivos se descifran con éxito pero en otras ocasiones, los atacantes no mandan ningún tipo de código de desbloqueo o similar para recuperar la información.

Las organizaciones de ciberseguridad, incluido el FBI, generalmente aconsejan que no paguen a los atacantes porque esto fomenta la propagación de este tipo de ataque. Sin embargo, muchas empresas no tienen la opción de recuperar sus datos  y así pagan, lo que mantiene este modelo de negocio criminal.

Ransomware ahora apunta a WordPress

Desde Wordfence nos alertan que actualmente se está siguiendo un tipo emergente de ransomware que apunta a los sitios web de WordPress. Ya no solo se atacan a un PC particular o un servidor de una empresa, sino que el ransomware pone su foco en entornos de gestión Web como WordPress.

El ransomware es cargado por un atacante una vez que han comprometido un sitio web de WordPress. Proporciona al atacante una interfaz inicial que se parece a esto:

ransomware wordfence

Fuente: Wordfence.com

Esta interfaz proporciona la funcionalidad de cifrado y descifrado a un atacante. El atacante entonces elige una clave compleja, lo introduce en el campo “KEY ENC / DEC” y los ataques se envían.

El sitio se cifra entonces. El resultado se ve así:

ransomware wordfence

Fuente: Wordfence.com

El ransomware no cifrará archivos que tengan las siguientes extensiones:

* .php *
* .png *
* 404.php *
* .htaccess *
* .lndex.php *
* DyzW4re.php *
* Index.php *
* .htaDyzW4re *
* .lol.php *

Para cada directorio que procese el ransomware, enviará un correo electrónico a “htaccess12@gmail.com” que informa al destinatario sobre el nombre del host y la clave utilizada para realizar el cifrado. Todos los archivos afectados se eliminan y otro archivo ocupa su lugar con el mismo nombre, pero con la extensión “.EV”. Este nuevo archivo está encriptado.

El proceso de cifrado utiliza la funcionalidad de mcrypt y el algoritmo de cifrado utilizado es Rijndael 128. La clave utilizada es un hash SHA-256 de la clave de cifrado proporcionada por el atacante.

El descifrado es incompleto

Cuando se inicia el proceso de cifrado, el ransomware crea dos archivos en su directorio de instalación. El primero se llama “EV.php”, un archivo que contiene una interfaz que se supone que permite al usuario descifrar sus archivos si tienen una clave. Este archivo contiene un formulario, pero no funciona porque no incluye la lógica de descifrado.

El segundo archivo es un archivo .htaccess que redirige las solicitudes al archivo EV.php. Una vez que su sitio ha sido cifrado, se verá así:

ransomware Wordfence

Fuente: Wordfence.com

Este ransomware proporciona a un atacante la capacidad de encriptar sus archivos, pero en realidad no proporciona un mecanismo de descifrado activo. Sin embargo, le da a los atacantes lo que necesitan para engañar a los propietarios de sitios afectados a pagar un rescate. Su único objetivo es cifrar sus archivos.

Si eres afectado por este ransomware, no pagues el rescate, pues es improbable que el atacante realmente descifrará tus archivos. Si te proporcionan una clave, necesitarás un desarrollador de PHP con experiencia para ayudarte a corregir su código roto para poder usar la clave e invertir el cifrado.

¿Cómo protegerse?

Este ransomware fue visto por primera vez por Wordfence en un ataque el 7 de julio. Lanzaron una firma de malware a sus clientes Premium el 12 de julio que fue específicamente diseñado para detectar este ransomware y cualquier variante. Eso significa que los firewalls de sus clientes Premium han estado bloqueando cualquier intento de subir este ransomware a sus webs. 30 días después, el 11 de agosto, esta regla quedó disponible para todos los clientes NO premium. Si estás ejecutando Wordfence Premium o Wordfence gratis en tus sitios web, actualmente estás protegido contra este ataque.

Wordfence te protegerá de ser atacado por esto en primer lugar aunque recomiendan que tengas copias de seguridad. Lógicamente, es importante que no almacenes las copias de seguridad en tu servidor web ya que, frente a un ataque, se podría ver afectado y de nada serviría.

¿Quien es responsable?

La primera variante de este ransomware apareció en mayo del año pasado en Github. Actualmente, los atacantes usan la versión 2. La primera vez que, desde Wordfence se observó dicho ataque con foco en WordPress fue el mes pasado. Los autores del ransomware en Github son bug7sec, un grupo indonesio con una página de Facebook que se hace ver como un “consultor de negocios”.

El código fuente utiliza palabras indonesias como “kecuali“, que significa “except” en inglés. La función anterior determina si debe excluir un archivo del cifrado, por lo que la palabra ‘except’ tiene sentido en este contexto como un nombre de función indonesio.

Cuando se carga el ransomware, se carga un video de YouTube invisible, pero se puede oír el sonido que se reproduce en segundo plano cuando se visualiza la interfaz de usuario de ransomware. El video toca una canción de rap indonesia y las letras parecen mencionar la piratería.

El título del video es “ApriliGhost – Defacer Kampungan.” Si buscas @aprilighost en Twitter, encontrarás la cuenta, que enlaza a esta cuenta de Facebook de Indonesia . Otra pista es que el ransomware parece estar conectado con el sitio web errorviolence.com.

Los datos de ataque de Wordfence han registrado ataques relacionados de IPs con la ubicación de Yakarta, la capital de Indonesia. Han visto ataques relacionados procedentes de otros IPs que no son de Yakarta, pero estos no se resuelven a ninguna ubicación específica, sino a organizaciones que pueden ser utilizadas para ataques proxy. Hasta ahora, Yakarta es el único lugar con un claro vínculo a estos ataques.

Conclusión: Este ransomware fue creado en Indonesia, probablemente por bug7sec, y utilizado por al menos un grupo indonesio basado en hacking, de Indonesia, para apuntar a los sitios web de WordPress.

¿Evolucionará a un Ransomware completamente funcional y extendido?

Es muy probable que este ataque, que no pretende generar una extorsión económica, evolucione en los próximos meses en un ransomware totalmente funcional que apunte tanto a tus archivos como a su base de datos en WordPress. También se espera ver ataques con extorsión económica. Para los sitios web que no tienen un firewall (totalmente recomendable Wordfence) y copias de seguridad regulares, esto puede convertirse en un negocio rentable para los atacantes que pueden rescatar unos pocos miles de dólares/Euros de sitios web.

¿Cómo mantenerse a salvo?

Como mencioné anteriormente, Wordfence ha estado bloqueando este ransomware para sus clientes Premium desde que lo vieron por primera vez en un ataque a principios de julio.

En septiembre del año pasado, Wordfence integró nuestro escáner de malware en nuestro firewall . Esto permite a Wordfence utilizar firmas de malware que creamos para reconocer archivos como esta variante de ransomware en nuestro cortafuegos. Al usar esta técnica, Wordfence bloqueará un intento de subir ransomware, incluso si el atacante usó una vulnerabilidad desconocida.

 

Saludos y buen día!!

No hay comentarios aún.

¿Qué opinas?

Tu dirección de correo electrónico no será publicada.