Ransomware bedroht WordPress-Webseiten

Ein Sicherheits-Plugin-Team für WordPress hat davor gewarnt. Dass Ransomware über veraltete WordPress-Komponenten auf Servern eindringen und Webseiten verschlüsseln kann. Hierbei ist es wichtig, regelmäßige Aktualisierungen von Plugins & Themes durchzuführen um das Risiko zu minimieren.


Wie das Wordfence-Team in einem Blogeintrag mitteilt, fiel ihm die Malware während einer Traffic-Analyse auf WordPress-Websites auf. Angriffspunkte seien demnach veraltete Plugins und verwundbare Themes die Angreifern den Schadcode-Upload auf Webserver ermöglichten. Um welche Komponenten es sich konkret handelt – geht aus dem Eintrag nicht hervor. Wordfence macht jedoch deutlich, dass eine regelmäßige Aktualisierung sämtlicher Komponenten das Infektionsrisiko reduziere.

Lösegeldforderung im Browser

Den Plugin-Entwicklern zufolge legt die Ransomware auf kompromittierten Servern ein Webinterface an, in das der Angreifer einen beliebigen Key eingeben kann. Die Malware erzeuge daraus einen Hash, mit dem sie Dateien im aktuellen Verzeichnis nebst Unterverzeichnissen verschlüssele und mit der Dateiendung ".EV" versehe. Im Anschluss schicke sie dem Angreifer automatisch eine E-Mail die sowie den Key als ebenfalls die URL der verschlüsselten Website enthalte.

Das Opfer werde dann beim Website-Aufruf im Browser zur Lösegeldforderung umgeleitet. Aus einem von Wordfence angefertigten Screenshot geht die Höhe dieser Forderung ? 0⸴2 Bitcoin ? hervor. Das entspricht momentan etwa 740 Euro. Neben der E-Mail-Adresse für die Kontaktaufnahme mit dem Angreifer umfasst die Erpresser-Website auch ein Eingabefeld für den erworbenen Key.

Wordfence rät von der Lösegeldzahlung ab: Hinter dem Eingabefeld verberge sich gar keine Entschlüsselungsfunktion. Selbst im unwahrscheinlichen Fall, dass der Angreifer den Key tatsächlich herausrücke, sei die Wiederherstellung der verschlüsselten Dateien nur mit zusätzlichem Programmier- & Zeitaufwand möglich.

Spuren deuten nach Indonesien

Weitere Nachforschungen durch Wordfence ergaben: Es sich bei dem Schadcode um eine Ransomware-Variante handelt die auf frei verfügbarem PHP-Code basiert. Dieser sei bereits seit Mitte letzten Jahres auf GitHub verfügbar.

Details wie Variablennamen im Code und auch die Facebook-Seite des Repository-Besitzers deuten laut Wordfence auf eine indonesische Hackergruppe als Urheber der "Open-Source-Ransomware" auf GitHub hin. Ob diese auch hinter den Angriffen auf WordPress steckt sei unklar. Das Entwickler-Team habe jedoch einige der bei den Angriffen geloggten IPs der indonesischen Hauptstadt Jakarta zuordnen können.

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige