Di recente il team di Wordfence ha scovato che il ransomware viene utilizzato per colpire i siti WordPress. Allo stato attuale si sta monitorando la variante il cui nome è “EV Ransomware“.
Cos’è un Ransomware?
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i files dell’utente chiedendo di pagare per decriptare i files cifrati.
Ultimamente il ransomware più diffuso è stato utilizzato per criptare tutti i file presenti in un computer con un sistema di criptazione abbastanza complesso. Successivamente l’hacker domandava un riscatto per avere la chiave di decriptazione che consentiva di decriptare i files presenti all’interno del computer.
La prima variante del ransomware è nato nel lontano 1989, all’epoca per poter decriptare i files presenti all’interno del computer dovevi inviare $189 in una casella postale residente a Panama.
Ad oggi nel 2017 sono state create più di 100 varianti, e si stima che ne vengano create in media circa il 36% in più ogni anno. In questo caso si stima che il costo per decriptare i files sia aumentato del 266% chiedendo in media circa $1077 ad ogni vittima.
Nel mese di maggio tutti ricordiamo il Ransomware WannaCry che ha colpito centinaia di migliaia di persone in circa 150 nazioni differenti. Nel mese di giungo possiamo ricordare Petya, un ransomware la cui origine era in Ucraina ed è riuscito ad espandersi velocemente colpendo gravemente molte aziende con più di 500 dipendenti.
Il Ransomware che vuole colpire WordPress
La maggior parte dei Ransomware colpisce i sistemi Windows. Tuttavia, ad oggi il team di Wordfence ha individuato che ad essere preso di mira è proprio WordPress. Potete capire bene quanto questo sia rischioso.
Durante l’analisi dove viene studiato il traffico maligno che sta colpendo WordPress sono stati scovati diversi tentativi di caricamento del ransomware all’interno del proprio account che ospita il sito WordPress che è in grado di criptare tutti i files presenti all’interno dell’account e successivamente chiede un riscatto per poter decriptare i files.
Il ransomware viene caricato all’interno degli account avente WordPress vulnerabile (quindi non aggiornato) oppure sfruttando le vulnerabilità di diversi plugin.
Una volta caricata la shell si procede a criptare i files, successivamente comparirà una pagina che consentirà al malintenzionato di selezionare una chiave per la criptazione dei files. Successivamente una volta avviata la procedura, il sistema inizierà a criptare tutti i files presenti all’interno dell’account.
Il ransomware non cripterà i files che utilizzano i seguenti pattern:
- *.php*
- *.png*
- *404.php*
- *.htaccess*
- *.Index.php*
- *DyzW4re.php*
- *index.php*
- *.htaDyzW4re*
- *.lol.php*
Per ogni directory che il ransomware riesce a processare, invierà una mail all’indirizzo “htaccess12@gmail.com” il quale invierà al destinatario informazioni come hostname e chiave utilizzata per criptare i files.
Tutti i files criptati saranno eliminati e saranno creati i nuovi file criptati con lo stesso nome ma avranno un’esentisone .EV (in pratica quello sarà il file criptato).
Per i più esperti: Il processo di criptazione utilizza la funzione mcrypt di php e l’algoritmo utilizzato è Rijndael 128. La chiave utilizzata usa un hash SHA-256.
Come proteggersi dal Ransomware che colpisce WordPress
Ti raccomandiamo sempre di tener aggiornato WordPress e tutti i suoi plugin e di evitare di utilizzare Template Gratuiti o scaricati da internet da fonti non ufficiali. Da parte nostra abbiamo installato alcune regole di ModSecurity che ne impediscono il caricamento, tuttavia sembra che il Ransomware si stia evolvendo quindi le regole vanno aggiornate costantemente.
Che sia l’inizio di un nuovo ransomware che colpirà una maggioranza di siti internet? Questo non lo sappiamo, ma sappiamo che tener costantemente aggiornata la propria installazione di WordPress diminuisca di molto la probabilità di essere colpiti.
E’ sempre importante avere delle copie di backup in modo tale da non farsi trovare impreparati ad una bruttissima sorpresa. Raccomandiamo inoltre di scaricare all’interno del proprio personal computer le varie copie di backup, in questo caso anche se venissero cancellate dal proprio account potete sempre caricare la versione posizionata sul vostro computer.