Computer Security O TeslaCrypt Ransomware se Espalha Agressivamente por...

O TeslaCrypt Ransomware se Espalha Agressivamente por Sites Comprometidos do WordPress

sites wordpress comprometidos espalham teslacrypt ransomware O ransomware tem sido um dos tipos mais agressivos de ameaças de malware que encontramos no ano passado. Com cada nova ameaça de ransomware, o alcance dos cibercriminosos efetivamente coletando taxas de resgate aumenta exponencialmente. Acontece que os cibercriminosos que espalham novas ameaças de ransomware de tipo de criptografia estão iniciando campanhas de sites comprometidos do WordPress para espalhar uma variante da infecção pelo TelsaCrypt Ransomware.

Os pesquisadores da Heimdal Security descobriram casos em que uma campanha conhecida por impulsionar o Neutrino Exploit Kit, efetivamente espalhando o malware Backdoor.Andromeda, está sendo aproveitada em sites comprometidos do WordPress com o objetivo de disseminar o TeslaCrypt Ransomware. Tivemos uma experiência em primeira mão com o TeslaCrypt Ransomware, e ele foi derrubado como uma ameaça com uma baixa taxa de detecção, permitindo essencialmente que ele se espalhasse mais rapidamente do que outras ameaças semelhantes.

A abundância de domínios já usados para espalhar o TeslaCrypt aumentou recentemente nas últimas semanas. Desses domínios usados para espalhar o TeslaCrypt Ransomware, que são verificados como sites comprometidos do WordPress, a Heimdal Security bloqueou pelo menos 85 deles até agora.

Já informamos como o TeslaCrypt Ransomware estava sendo espalhado por sites desatualizados do WordPress por meio do Neutrino Exploit Kit. Agora, a mesma campanha continua com métodos de ataque atualizados e extremamente agressivos.

Os sites do WordPress costumam ser uma plataforma de ataque para hackers e cibercriminosos. O software WordPress, uma das plataformas de gerenciamento de conteúdo mais utilizadas para desenvolvimento web, é um tipo de código aberto que pode ser facilmente explorado por hackers espertos. Não é de surpreender que vejamos mais uma instância de sites do WordPress comprometidos com a finalidade de espalhar malware, que nesse caso é uma forma agressiva que sabemos ser a ameaça do TeslaCrypt Ransomware.

Como sabemos com o TeslaCrypt Ransomware, é uma das muitas ameaças recentes que criptografam arquivos em um computador infectado e, posteriormente, fornece ao usuário do computador um método para descriptografar os arquivos. O único problema é que, para descriptografar os arquivos, o que restaurará um sistema infectado com arquivos criptografados de volta à operação normal, o usuário do computador precisará pagar uma taxa pela chave de descriptografia. Normalmente, o preço da descriptografia custa entre US $500 e mais de US $1000, o que gera para os cibercriminosos por trás do TeslaCrypt um bom dia de pagamento.

Analisando os detalhes técnicos do ataque atualizado ao comprometer sites do WordPress, foi descoberto que, quando os invasores comprometem os sites, o malware é programado para injetar arquivos JavaScript com código malicioso. Dentro do código, há instruções para sites hospedados no mesmo servidor serem comprometidos com o malware.

Os pesquisadores primeiro puderam encontrar características específicas que permitiam a divulgação da campanha apenas para veicular anúncios pop-up irritantes. Eventualmente, o malware evoluiu para uma ameaça muito mais séria, redirecionando os usuários para um kit de exploração.

Por meio de redirecionamentos ocultos, o malware que espalha ransomware está começando a evoluir e a espalhar as ameaças nos computadores administrados por usuários inocentes. É o caso dos usuários de computador que utilizam um bloqueador de anúncios e os redirecionamentos ocultos automáticos podem ocorrer sem que o usuário perceba e instale a ameaça de malware.

Carregando...