フェイクランサムウェア攻撃

ほぼこもセキュリティニュース By Terilogy Worx

ここのところ、いろいろな業界でランサムウェア攻撃のニュースが絶えません。
そんななか、今度はフェイクランサムウェア攻撃が観測されています。

ランサムウェア攻撃は、その名前の通り、ランサム(身代金)を要求するウェア(マルウェア)による攻撃です。
今回観測されているフェイクランサムウェア攻撃は、フェイク(偽の)ランサムウェア攻撃です。

こんな感じです。

  • DirectoristというWordPressプラグインを搭載しているWebSiteを見つける
  • 何らかの手法でWordPressの管理者アカウント(ユーザIDとパスワード)を入手する
    ブルートフォースやアンダーグラウンドでのアカウント購入など、情報の経路は不明です
  • WordPressの管理サイトにログインする
  • 投稿済みの記事の投稿フラグをnull(無効)に変更する
    これにより、投稿済みの記事が全部非表示状態になります
    ここは通常、’draft’(下書き),’publish’(公開済),’future’(予約済),’pending’(承認待ち),’private’(非公開),’trash’(ゴミ箱),’auto-draft’(自動下書き),’inherit’(継承)が指定できます
    このどれでもない値を設定した関係で、通常ではないことが起こったように感じます
    あたかも暗号化が実施されたせいで記事が表示されなくなったように 感じます
    暗号化されたと感じますが、非表示になっているだけで暗号化されたわけではありません
  • プラグインの誤用で、脅迫文を画面に表示する

今回の攻撃では、身代金金額は他の攻撃に比較して高額ではありませんでした。
0.1ビットコインを要求しました。
現在の価値でおよそ680万円くらいでしょうか。

確認されている範囲では、291のサイトがこの攻撃を受けました。
この攻撃では実際に何かが暗号化されたわけではありませんので、脅迫文を表示しているファイルを削除して記事の属性を公開状態に設定するだけで復旧できます。
被害を受けたいくつかのサイトではすでにコンテンツが修復されて元の状態に戻っていますが、まだ脅迫文が表示されたままのサイトもあります。

この種の問題は、明確な対応が打ちにくいのが現状です。
何らかのファイアウォールの後ろにWebSiteを置いて保護する、とか、バックアップを取って復元できる状態を維持する、などのことで対応していくことになるのかもしれません。
運用でカバーしていく、ということでしょうか。
簡単なことではないように思えます。

この件に限ったことではありませんが、少なくともできる対策は実施しておこうと思いました。

参考記事(外部リンク):WordPress sites are being hacked in fake ransomware attacks
www.bleepingcomputer.com/news/security/wordpress-sites-are-being-hacked-in-fake-ransomware-attacks/