ИБ-исследователи из датской компании Heimdal Security в своем отчете отметили, что с начала сентября хакеры массированно атакуют различные ресурсы с высокой посещаемостью. Одной из главных жертв этой киберкампании стала платформа WordPress, поддерживающая миллионы пользовательских блогов, а также многочисленные интернет-магазины и новостные порталы. Однако, с точки зрения защиты информации, эксперты считают имеющуюся на сервере систему ИБ недостаточно эффективной, а также платформа нуждается в глубокой модернизации всей системы управления контентом (CMS), а также группы штатных плагинов.
Ресурсы WordPress ежемесячно посещает порядка 409 млн пользователей. И, как отмечают эксперты, в результате атаки на ресурсы WordPress, потенциальным источником распространения зловредов сегодня может являться уже порядка 124 млн пользовательских сайтов. А общее количество потенциальных жертв вымогательского ПО в ближайшей перспективе может достигнуть катастрофических цифр.
Это не первая серийная атака на сайты WordPress. Предыдущий вал наблюдался в августа текущего года… Летом злоумышленники для распространения вымогающих деньги вирусов-шифровальщиков через бэкдор с помощью эксплойт-пака Neutrino и весьма эффективного зловреда CryptoWall также старались скомпрометировать система киберплатформы.
В сентябре, по результатам мониторинга динамики атак, которые предоставила датская ИБ-компания Heimdal Security, на WordPress пришлось 60% от всего вала проведенных взломов. Сначала во в власти зловредов оказалось 20% сайтов WordPress, где функционировала устаревшая версия движка. Однако, по мнению экспертов, даже у более свежих версий CMS платформы механизм защиты недостаточно эффективен и не способен противостоять такому современному эксплоит-паку как Neutrino. К слову сказать в среде киберпреступности на этот эксплойт-пак сегодня спрос даже больше, чем на пресловутый Angler. Эксперты объясняют это более доступной ценой Neutrino, ведь у «малоимущих» новичков киберпреступного мира нет достаточно средств, чтобы приобрести самый мощный, но весьма дорогостоящий инструментарий для кибератак.
Во время сентябрьских атак хакеры использовали следующий механизм внедрения своего вредоносного скрипта Neutrino. При обращении к домену WordPress осуществлялся перехват запроса, который тут же перенаправлялся на целевой сайт thedancingbutterfly.com, а тот, в свою очередь, перенаправлял пользователя на nkzppqzzzumhoap.mi, где его «ждал» набор эксплойтов Neutrino. После этого в систему жертвы начинал внедряться вымогательский троян TeslaСrypt.Neutrino, который эксплуатирует уязвимости состояния записи в Adobe Flash Player, Internet Explorer и Adobe Reader/Acrobat.
В завершение процесса начинается процесс шифрования данных на пользовательском компьютере. Вирус в конце ссессии выводит на экран оповещение, что обратная дешифровка будет произведена после перечисления денег по указанной схеме. В связи с этим ИБ-специалисты предупреждают всех владельцев сайтов на WordPress о необходимости провести обновление движка сайта на платформе, поскольку в новых версиях CMS уже имеются большая часть необходимых патчей и модулей защиты.
