Ransomware attackiert WordPress-Websites
Entwickler eines Security-Plugins für WordPress warnen vor Ransomware, die über veraltete WordPress-Komponenten auf Server gelangt. Von dort aus verschlüsselt sie Websites. Regelmäßige Aktualisierungen von Plugins und Themes begrenzen die Gefahr.
(Bild: pixabay.com)
Die Entwickler von Wordfence, einem Security-Plugin für das CMS WordPress, warnen aktuell vor einer steigenden Zahl von Ransomware-Attacken auf WordPress-Installationen. Wie das Wordfence-Team in einem Blogeintrag mitteilt, fiel ihm die Malware während einer Traffic-Analyse auf WordPress-Websites auf. Angriffspunkte seien demnach veraltete Plugins und verwundbare Themes, die Angreifern den Schadcode-Upload auf Webserver ermöglichten. Um welche Komponenten es sich konkret handelt, geht aus dem Eintrag nicht hervor. Wordfence macht jedoch deutlich, dass eine regelmäßige Aktualisierung sämtlicher Komponenten das Infektionsrisiko reduziere.
Lösegeldforderung im Browser
Den Plugin-Entwicklern zufolge legt die Ransomware auf kompromittierten Servern ein Webinterface an, in das der Angreifer einen beliebigen Key eingeben kann. Die Malware erzeuge daraus einen Hash, mit dem sie Dateien im aktuellen Verzeichnis nebst Unterverzeichnissen verschlüssele und mit der Dateiendung ".EV" versehe. Im Anschluss schicke sie dem Angreifer automatisch eine E-Mail, die sowohl den Key als auch die URL der verschlüsselten Website enthalte.
Das Opfer werde dann beim Website-Aufruf im Browser zur Lösegeldforderung umgeleitet. Aus einem von Wordfence angefertigten Screenshot geht die Höhe dieser Forderung – 0,2 Bitcoin – hervor. Das entspricht momentan etwa 740 Euro. Neben der E-Mail-Adresse für die Kontaktaufnahme mit dem Angreifer umfasst die Erpresser-Website auch ein Eingabefeld für den erworbenen Key.
Wordfence rät von der Lösegeldzahlung ab: Hinter dem Eingabefeld verberge sich gar keine Entschlüsselungsfunktion. Selbst im unwahrscheinlichen Fall, dass der Angreifer den Key tatsächlich herausrücke, sei die Wiederherstellung der verschlüsselten Dateien nur mit zusätzlichem Programmier- und Zeitaufwand möglich.
Spuren deuten nach Indonesien
Weitere Nachforschungen durch Wordfence ergaben, dass es sich bei dem Schadcode um eine Ransomware-Variante handelt, die auf frei verfügbarem PHP-Code basiert. Dieser sei bereits seit Mitte letzten Jahres auf GitHub verfügbar.
Details wie Variablennamen im Code sowie die Facebook-Seite des Repository-Besitzers deuten laut Wordfence auf eine indonesische Hackergruppe als Urheber der "Open-Source-Ransomware" auf GitHub hin. Ob diese auch hinter den Angriffen auf WordPress steckt, sei unklar. Das Entwickler-Team habe jedoch einige der bei den Angriffen geloggten IPs der indonesischen Hauptstadt Jakarta zuordnen können. (ovw)
