Computer Security At Least 500 WordPress and Joomla Sites Compromised by...

At Least 500 WordPress and Joomla Sites Compromised by Aggressive Shade Ransomware Campaign

阴影勒索软件攻击的wordpress网站安全研究人员最近发现了一个隐藏的HTTP目录,似乎允许攻击者使用WordPress和Joomla来安装Shade勒索软件。
据Zscaler称,勒索软件活动设法破坏了数百个在线资产,可能针对数千人。这次攻击的受害者被网络钓鱼电子邮件所欺骗,其中附带的ZIP文件包含JavaScript。该脚本在受感染的计算机上下载并执行了Shade勒索软件

哪些目标可能成为网络钓鱼的目标?

WordPress和Joomla是目前最常用的内容管理系统之一。 Shade勒索软件构成的当前威胁最有可能影响运行过时插件,主题和软件的网站。最易受攻击的网站可能运行Wordpress版本4.8.9到5.1.1。

使用目录意味着这些攻击背后的人可以隐藏许多文件,例如来自Joomla和Wordpress管理员的Shade勒索软件。一旦威胁的有效载荷被执行,受害者机器上的壁纸就会被更改为显示英语和俄语的勒索。

攻击者还采取措施使用网络钓鱼页面,模仿一些常用的生产力工具,如Dropbox,Gmail和OneDrive。有专门模仿公司和银行网站的网页,如DHL,美国银行等。这可能意味着威胁演员在用户名,密码和敏感的个人数据之后。

Shade Ransomware活动如何运作

虽然Shade针对Joomla和Wordpress用户的当前问题的来源目前尚不清楚,但建议安全团队和用户快速做出反应,以限制这些网络钓鱼攻击潜在传播

Shade勒索软件, 也称为Troldesh ,是目前越来越受欢迎的加密病毒类型威胁的典型代表。它的作用是使用AES-256加密方法加密受害者计算机上的许多重要或常用文件。完成此任务后,它会在可见的位置删除勒索信息,以便用户可以看到它。威胁使用.ID_of_infected_machine.crypted000007扩展名附加文件名,除非他们被解密,否则它们将无法使用。

Shade使用两种方式将赎金返还给其传播背后的人:Tor服务器和电子邮件。在第一种情况下,用户被指示访问匿名浏览器并按照转移指令支付赎金。无论是什么类型的数据,都不能保证Shade勒索软件背后的人会再次解锁文件,因此建议用户和公司避免支付任何赎金。

网络犯罪分子已对Shade勒索软件进行了改进,因此当它自己安装到受害者的计算机上时,它可能会安装远程访问工具(RAT)。. 勒索软件似乎检查是否有任何文件表明计算机在俄语组织的部门中使用过。
一旦检测到这样的文档,它就会安装一个Teamspy木马 。这个特定的木马在受感染的计算机上删除了NirCmd实用程序,TeamViewer,7ZIP和RDP Wrapper Library的修改版本。在这组工具的帮助下,网络犯罪分子可能会尝试修改操作系统并通过远程控制受感染的PC。

正在加载...