image

Honderden WordPress-sites getroffen door zogenaamde ransomware-infectie

dinsdag 16 november 2021, 09:10 door Redactie, 15 reacties

Honderden WordPress-sites zijn getroffen door een zogenaamde ransomware-infectie waarbij bezoekers het bericht te zien krijgen dat de website is versleuteld. Dat meldt securitybedrijf Sucuri. Volgens het bericht op de website moet er voor het ontsleutelen van de versleutelde bestanden 0,1 bitcoin worden betaald, wat op het moment van schrijven overeenkomt met ruim 5300 euro.

In het verleden zijn er vaker aanvallen op websites uitgevoerd waarbij bestanden van de site voor losgeld werden versleuteld of gestolen. Bij de nu getroffen WordPress-sites is daar geen sprake van en zijn er geen bestanden versleuteld. Aanvallers hebben een plug-in weten te installeren die de losgeldboodschap toont. Het verwijderen van de plug-in is dan ook voldoende om de melding te verwijderen. Volgens Sucuri stond de teller gisteren op 291 getroffen websites.

Hoe de aanvallers in staat zijn om de plug-in te installeren is op dit moment onduidelijk. Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, die mogelijk via een bruteforce-aanval of andere manier zijn verkregen. Beheerders van getroffen websites wordt dan ook geadviseerd om alle beheerderswachtwoorden te wijzigen en alle bestaande beheerders van de site te controleren.

Image

Reacties (15)
16-11-2021, 09:48 door [Account Verwijderd]
Blufware...
16-11-2021, 09:53 door Anoniem
https://www.google.com/search?q=%22create+file+on+site%22

Wel aardig van de hacker om zo al deze sites te laten beveiligen.
16-11-2021, 10:01 door Anoniem
https://www.blockchain.com/btc/address/3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc
lol
16-11-2021, 10:12 door Anoniem
"Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, "

En waarom waren die inlogsystemen bereikbaar vanaf het internet?
Je kunt prima die backend van Wordpress afschermen met bijvoorbeeld een IP-filter? Zouden ze eigenlijk standaard moeten doen!
16-11-2021, 10:18 door Anoniem
Even fake AV draaien en als dat niet helpt is er vast een behulpzame Indiase helpdesk te bereiken welke CC accepteerd.
16-11-2021, 10:44 door Anoniem
Door Anoniem: "Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, "

En waarom waren die inlogsystemen bereikbaar vanaf het internet?
Je kunt prima die backend van Wordpress afschermen met bijvoorbeeld een IP-filter? Zouden ze eigenlijk standaard moeten doen!
Beetje lastig met die 1euro hosting denk ik.
16-11-2021, 11:02 door [Account Verwijderd]
Door Anoniem: "Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, "

En waarom waren die inlogsystemen bereikbaar vanaf het internet?
Je kunt prima die backend van Wordpress afschermen met bijvoorbeeld een IP-filter? Zouden ze eigenlijk standaard moeten doen!

Ik denk omdat veel Wordpress-website eigenaren dit gewoon niet weten of vergeten te doen.
16-11-2021, 11:32 door Anoniem
Door Anoniem: "Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, "

En waarom waren die inlogsystemen bereikbaar vanaf het internet?
Je kunt prima die backend van Wordpress afschermen met bijvoorbeeld een IP-filter? Zouden ze eigenlijk standaard moeten doen!

Wie heeft de site gemaakt?
Als ik zeg dat ik voor het installeren van een basis wordpress een aantal uren nodig heb, moet ik vaak ook uitleggen dat ik ook de beveiliging serieus neem.
16-11-2021, 13:10 door Anoniem
Normaal lees je dat dit alleen maar op Windows voor komt.

Echter, zo blijft is dit totaal niet het geval.

Het zijn eigenlijk de applicaties die het probleem zijn, al dan niet icm updates installeren.
Dit is hiervan dus een prachtig voorbeeld.
16-11-2021, 14:05 door Anoniem
Door Anoniem:
Het zijn eigenlijk de applicaties die het probleem zijn, al dan niet icm updates installeren.
Dit is hiervan dus een prachtig voorbeeld.

Probleem ligt bij het feit dat mensen geen unieke wachtwoorden gebruiken voor diensten of webportals zoals het beheren van WP sites. Aanvallers hebben dmv bruteforcen toegang gekregen tot een aantal van deze webportals en simpel een plugin geïnstalleerd welke de 'hacked' pagina toont. De applicatie kan nog zo veilig zijn zonder foutjes (2FA daargelaten), zodra je login gegevens laat slingeren laat je eigenlijk gewoon de deur open staan.
16-11-2021, 19:51 door Anoniem
Door Anoniem: Normaal lees je dat dit alleen maar op Windows voor komt.

Echter, zo blijft is dit totaal niet het geval.

Het zijn eigenlijk de applicaties die het probleem zijn, al dan niet icm updates installeren.
Dit is hiervan dus een prachtig voorbeeld.
Dat lees je helemaal niet. Wat je normaal leest is dat de windows servers zijn versleuteld. Dat is hier niet het geval.
Daarnaast draait wordpress ook op windows, die servers zullen wel versleuteld worden en heeft de ISP een probleem.
17-11-2021, 01:36 door Anoniem
Afgelopen dagen hebben we bij enkele klanten (paar honderd domeinen) een toenname van bruteforce attempts waargenomen. Voornamelijk uit India als we de ASN's en IP's mogen geloven. Het zou me niks verbazen als dit te maken heeft met deze campagne. Op zich weinig vernieuwends aan weer eens wat anders dan een zeroday theme injection vermomd als emoticons in de site directory.

Op het punt qua log bestanden die waren niet publiekelijk toegankelijk die waren onder contract inzichtelijk bij Sucuri
Het is niet voor niks een security company dat audits verricht voor anderen. Wordpress heeft standaard *geen* user login of action log dat haal je uit je Apache, IIS Lightspeed of Nginx of andere webserver raw logs. Services als Sucuri, Wordfence hebben tooling gemaakt in de vorm van plug-ins die deze data wel opslaan in database vorm en of verwerken naar log bestand. (absurd maar het is nu eenmaal hoe WP gemaakt is)

Andere genoemde punt praktisch heeft een preventief IP filter enkel nut als er verdere authenticatie controle plaatsvind.
Waarom? Omdat in de praktijk zelden je klanten vanaf 1 locatie hun back-end benaderen en als je hun daarin beperkt door bijvoorbeeld enkel hun kantoor IP toe te laten je week later een ticket ontvangt dat ze niet kunnen inloggen vanaf hun mobiele apparaat.

Daarbij ook meegenomen door het advies van de regering dat thuiswerken geadviseerd is loop je tegen een ander probleem namelijk GDPR. Een kantoor IP is niet gebonden aan 1 persoon een thuis locatie echter is iets anders.

Dan kan je ofc kiezen voor het opnemen van het IP zonder beschrijving maar dat is niet bepaald handig omdat je ook het risico loopt dat je dan een dynamisch IP whitelist die mischien over een half jaar of korter niet meer in handen van de gebruiker is.

Geo block is dan ook weer omstreden wegens eerder genoemde GDPR daarnaast vreet het server resources en vaak zit er vertraging in de actuele lijsten en de werkelijke situatie waardoor ineens tussen leveranciers blokkades ondervinden die eigenlijk in de ignore list waren opgenomen. (M365, Mailchimp bijvoorbeeld)

Dus als je IP filtering doet voor back-end altijd MFA of OTP forceren en adviserend geen optie van SMS transport van code. Ik verwijs maar even naar Sucuri hun eigen blog, al mag dit niks nieuws zijn voor de meerderheid.
https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.html

En de droge stof van de NIST voor wie zich verveelt.
https://pages.nist.gov/800-63-3/

Dat is als je je klanten zo ver krijgt een app op hun telefoon te zetten verwerkings overeenkomst aan te gaan met een derde partij en dat alles zonder weerstand. (veel geluk daarmee)
17-11-2021, 06:13 door Anoniem
User enumeration op enabled laten staan en directory listing idem?

Dan kun je zulke dingen verwachten. Basale CMS configuratiefouten leiden tot allerlei narigheid.

luntrus
17-11-2021, 08:18 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Normaal lees je dat dit alleen maar op Windows voor komt.

Echter, zo blijft is dit totaal niet het geval.

Het zijn eigenlijk de applicaties die het probleem zijn, al dan niet icm updates installeren.
Dit is hiervan dus een prachtig voorbeeld.
Dat lees je helemaal niet. Wat je normaal leest is dat de windows servers zijn versleuteld. Dat is hier niet het geval.
Daarnaast draait wordpress ook op windows, die servers zullen wel versleuteld worden en heeft de ISP een probleem.

Als dit geen blufware zou zijn én het om Windows servers zou gaan, dan zouden alle systemen op het hele achterliggende netwerk besmet worden. Want daarvoor is het vaak al genoeg dat iemand op iets verkeerds klikt, of iets verkeerds opent, op een client machine die aan het netwerk hangt. Laat staan een server. Of wacht, staat dit ook in het antwoord waarop ik reageer?
17-11-2021, 23:41 door laptopleon
Filteren op ip-adres werkt fantastisch tegen hacken :) en kan meestal prima, want serieuze webwinkels etc worden normaliter niet onderhouden vanuit een weiland, via mobiel internet maar vanaf de wifi van werk of huisadres, misschien nog van een filiaal maar dan ben je er meestal wel. En die wifi heeft meestal jarenlang hetzelfde ip.

Dit hoeft geen tickets op te leveren want klanten kunnen dit gewoon zelf beheren middels een plug-in.

Filteren op IP is niet eens echt nodig als er maar een uniek, sterk wachtwoord wordt gebruikt, in combinatie met een limiet op het aantal inlogpogingen. Ook dit kan weer prima met één WP-plug-in die zelf ook nog eens in te stellen is qua aantal pogingen, per uur, dag etc.

Kortom beperk het mogelijke aantal inlogpogingen, gebruik een sterk, uniek wachtwoord en hernoem als bonus de standaard inlogpagina. Dan wordt het erg lastig voor scriptkiddies eh hackers. Uiteraard maak je sowieso af en toe een off-site backup, want het kan ook op andere manieren fout gaan en dan kun je toch betrekkelijk snel weer online zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.