Ransomware ora anche su siti WordPress

 

Dei ransomware (dalla parola inglese “ransom”, riscatto) abbiamo avuto modo di parlare recentemente su Internet Post. Per chi non li avesse mai sentiti nominare, si tratta di malware che colpisce i sistemi operativi Microsoft ed in grado di crittografare i file presenti sul “computer bersaglio” rendendoli inutilizzabili. In assenza di copie di backup dei file criptati, l’unica soluzione restava quella “auspicata” dagli Cryptolocker su siti WordPressstessi ideatori del malware, ovvero il pagamento di un corrispettivo in denaro (solitamente BitCoin) in cambio della chiave di sblocco.

Il metodo “tradizionale” utilizzato dal malware per infettare i pc dei bersagli era solitamente quello dell’allegato/link inoltrato via email: una presunta comunicazione emessa da un Ente statale, banca, fornitore di servizi ben noto o da un negozio ecommerce riguardante l’emissione di un rimborso cercava di persuadere l’utente ad aprire l’allegato o il link di turno.

Cryptolocker variante WordPress

Il metodo “alternativo”, segnalato a fine Febbraio da alcuni ricercatori, prevede invece l’attacco della home page di un sito WordPress, nello specifico: “una volta che l’hacker è riuscito ad infiltrarsi nel portale rinominano i file index.html o index.php in origianl_index.html ed original_index.php. Provvedono successivamente all’upload dell’index.html/php modificato che eseguira le operazioni di crittografia, eventuale sblocco e comincazione con il malcapitato”.

Il ransomware, che per fortuna funziona solo su portali che utilizzano il linguaggio PHP, non lascia nulla al caso tanto da apparire piuttosto “avanzato” per quanto riguarda le “funzionalità” messe a disposizione dei malintenzionati e delle vittime: oltre ad una chat con la quale è possibile contattare direttamente i “ricattatori”, l’utente può anche decidere di sbloccare uno o più file del proprio sito (una sorta di dimostrazione).

In Italia, come abbiamo riportato in alcuni precedenti post, il metodo “tradizionale” ha colpito diverse aziende ed utenti privati nel corso di due grandi campagne lanciate rispettivamente ad inizio 2015 e 2016.

Per ridurre al minimo i rischi si consiglia come sempre di mantenere aggiornata la vostra installazione WordPress ed i plugin, di utilizzare password complesse (ricorrendo eventualmente a procedure di autenticazione in due passaggi) ed effettuare periodicamente backup.