Pelo menos 500 sites WordPress e Joomla comprometidos pela agressiva campanha Shade Ransomware
Pesquisadores de segurança descobriram recentemente um diretório HTTP oculto que parece permitir que atacantes usem o WordPress e o Joomla para instalar o Shade ransomware.
A campanha de ransomware conseguiu comprometer centenas de propriedades online, potencialmente visando milhares, de acordo com a Zscaler. As vítimas do ataque foram enganadas por e-mails de phishing com um arquivo ZIP anexado contendo um JavaScript. O script baixou e executou o ransomware Shade nas máquinas infectadas.
Quais são os alvos que provavelmente serão alvo de phishing?
O WordPress e o Joomla são atualmente um dos sistemas de gerenciamento de conteúdo mais usados. A ameaça atual representada pelo ransomware Shade é mais provável de afetar sites que executam plugins, temas e softwares desatualizados. Os sites mais vulneráveis provavelmente estarão executando as versões 4.8.9 a 5.1.1 do WordPress.
Usar um diretório significa que as pessoas por trás desses ataques podem ocultar vários arquivos, como o Shade ransomware dos administradores do Joomla e do WordPress. Depois que a carga da ameaça é executada, o papel de parede na máquina da vítima é alterado para mostrar uma nota de resgate em inglês e russo.
Os invasores também tomaram medidas para usar páginas de phishing que imitam algumas das ferramentas de produtividade mais usadas, como Dropbox, Gmail e OneDrive. Havia páginas feitas para imitar especificamente sites de empresas e bancos, como os da DHL, Bank of America e assim por diante. Isso provavelmente significa que os agentes de ameaça estavam atrás de nomes de usuários, senhas e dados pessoais confidenciais.
Como funciona a campanha Shade Ransomware
Embora a origem dos problemas atuais com o Shade contra os usuários do Joomla e do WordPress não seja conhecida no momento, as equipes de segurança e os usuários são aconselhados a reagir rapidamente para limitar a disseminação potencial desses ataques de phishing .
O Shade ransomware, também conhecido sob o nome de Troldesh , é um representante típico das ameaças do tipo cryptovirus que se tornou popular nos dias de hoje. O que ele faz é criptografar vários arquivos importantes ou comumente usados no computador da vítima usando um método de criptografia AES-256. Quando essa tarefa estiver concluída, ela solta uma nota de resgate em um local visível para que os usuários possam vê-la. A ameaça anexa os nomes dos arquivos à extensão .ID_of_infected_machine.crypted000007, tornando-os inutilizáveis, a menos que sejam descriptografados.
Shade usa duas maneiras de entregar o dinheiro do resgate de volta para as pessoas por trás de sua disseminação: Servidor Tor e email. No primeiro caso, os usuários são direcionados para acessar o navegador anônimo e seguir as instruções de transferência para pagar o resgate. Não importa que tipo de dados seja, não há garantia de que as pessoas por trás do ransomware Shade irão desbloquear os arquivos novamente, então os usuários e as empresas são aconselhados a evitar o pagamento de qualquer resgate.
Os criminosos cibernéticos fizeram melhorias no ransomware Shade, por isso, é possível que ele instale uma ferramenta de acesso remoto (RAT) quando se instala no computador da vítima.. O ransomware parece procurar por documentos que indiquem que o computador foi usado em departamentos de organizações de língua russa.
Uma vez que documentos como esse são detectados, ele instala um trojan Teamspy . Esse trojan específico descarta uma versão modificada do utilitário NirCmd, o TeamViewer, o 7ZIP e a biblioteca RDP Wrapper no computador infectado. Com a ajuda desse conjunto de ferramentas, os cibercriminosos podem tentar modificar o sistema operacional e assumir o controle de um PC infectado por meio remoto.