Geçen haftanın sonlarında başlayan yeni bir saldırı dalgasında, sahte şifreleme bildirimleri görüntülemek için 300’e yakın WordPress sitesi hacklendi. Ardından saldırganlar aslında şifrelemedikleri verilerin kurtarılması için site sahiplerinden 0,1 bitcoin talep etti.
Bu fidye talepleri, bir aciliyet duygusu uyandırmak ve muhtemelen bir web yöneticisini fidyeyi ödemeye ikna etmek için bir geri sayım sayacıyla birlikte sunuldu.
0.1 bitcoin (~6.069.23 $) fidye talebi, yüksek profilli fidye yazılımı saldırılarında gördüğümüzle karşılaştırıldığında küçük bir miktar gibi görünse de, birçok web sitesi sahibi için oldukça ciddi bir rakam olabilir.
Kurbanları acil bir durum olduğuna ikna ederek kandırmaya çalıştılar
Bu saldırılar, kurbanlardan biri tarafından olay müdahalesi yapmak üzere anlaşma yapılan siber güvenlik firması Sucuri tarafından keşfedildi.
Araştırmacılar, web sitelerinin şifrelenmediğini, bunun yerine tehdit aktörlerinin yüklü bir WordPress eklentisini, bir fidye notu ve geri sayımı görüntülemek için değiştirdiğini keşfetti.
Eklenti, fidye notu görüntülemenin yanı sıra, tüm WordPress blog gönderilerini değiştiriyor ve ‘post_status’larını ‘null’ olarak ayarlayarak yayınlanmamış bir duruma geçmelerine neden oluyor.
Bu nedenle, saldırganlar sitenin şifrelenmiş gibi görünmesini sağlayan basit ama güçlü bir illüzyon yaratmış oldular.
Eklentiyi kaldırmak ve gönderileri yeniden yayınlamak için bir komut çalıştırmak, sitelerin eski haline dönmesi için yeterli olmakta.
Ağ trafiği günlükleri üzerinde yapmış olduğu detaylı analizler sonucunda Sucuri, saldırganın IP adresinin göründüğü ilk noktanın wp-admin paneli olduğunu buldu.
Bu, bilgisayar korsanlarının ya parolayı kaba kuvvetle çözerek ya da karanlık web pazarlarından çalınan kimlik bilgilerini alarak sitede yönetici olarak oturum açtığı anlamına geliyor.
Sucuri tarafından görülen eklenti ise sitelerde çevrimiçi işletme dizini listeleri oluşturmak için bir araç olan Directorist’ti.
Sucuri, bu saldırıdan etkilenen yaklaşık 291 web sitesini incelediğinde bir kısmının hala fidye notunu yayınlamaya devam ettiğini gördü.
BleepingComputer tarafından arama sonuçlarında görülen tüm siteler, herhangi bir fidye ödemesi almayan aynı 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc Bitcoin adresini kullanıyor.
Site şifrelemelerine karşı koruma
Sucuri, WordPress sitelerinin saldırıya uğramasını önlemek için aşağıdaki güvenlik uygulamalarını önerdi:
- Sitedeki yönetici kullanıcıları inceleyin, sahte hesapları kaldırın ve tüm wp-admin şifrelerini güncelleyin/değiştirin.
- wp-admin yönetici sayfanızı güvenli hale getirin.
- Diğer erişim noktası şifrelerini değiştirin (veritabanı, FTP, cPanel, vb.).
- Web sitenizi bir güvenlik duvarının arkasına yerleştirin.
- Gerçek bir şifreleme olayı durumunda geri yüklemeyi kolaylaştıracak güvenilir yedekleme uygulamaları kullanın.
WordPress genellikle tehdit aktörleri tarafından hedef alındığından, kurulu tüm eklentilerinizin en son sürümü çalıştırdığından emin olmanız da saldırılardan korunmak adına önem taşımakta.
Kaynak: bleepingcomputer.com
Diğer Haberler
Google Chrome 96: Twitter,Discord ve Instagram’da Sorunlara Yol Açıyor
Windows 10 21H2 Yayınlandı
Bu BIOS Hatası Çok Sayıda Intel İşlemciyi Etkiliyor