Portada Wordpress Ransomware para WordPresss – Nueva Amenaza
Este año 2017 pasará a la historia por ser uno de los más problemáticos en cuanto a seguridad en Internet se refiere.
La culpa de esto la tiene Ransomware y su variante más conocida WannaCry.
Ahora se ha detectado una variante de Ransomware que apunta directamente a los sitios web que tienen instalado WordPress, lo cual, debido a su popularidad, puede acarrear serios problemas a miles de usuarios.
El pasado 12 de mayo de 2017, un ataque masivo internacional de la variante Ransomware llamado WannaCry infecto miles de ordenadores en varios países del mundo.
Miles de organizaciones de todo el mundo se vieren afectadas con un impacto sin precedentes a nivel mundial.
Sin entrar en detalles técnicos, Ransomware actúa de una manera muy sencilla. Una vez infecta un equipo, encripta todos los archivos siendo imposible acceder a ellos.
Al mismo tiempo se pide un rescate monetario al usuario para descifrar los archivos y volver a tener acceso a los mismos, pero el pago que se exige no asegura de ninguna manera que se puedan volver a recuperar los archivos.
Si no se dispone de una copia de seguridad almacenada en otro dispositivo, es imposible recuperar los archivos encriptados.
A partir de ese momento, muchas otras variaciones de Ransomware fueron detectadas, siendo Petya otra de la variantes que más problemas causaron.
Nada parece indicar que este tipo de ataques no vayan a seguir apareciendo en el futuro, si no todo lo contrario.
WordPress es el CMS más popular del mundo, esto hace que esté en el punto de mira de todo tipo de ataques.
Desde hace poco, los chicos de Wordfence han detectado una variante de Ransomware creado para atacar las instalaciones de WordPress.
El procedimiento básico es el mismo, infectar y encriptar los archivos para luego pedir un rescate monetario a los administradores del sitio web.
Una vez un WordPress esté infectado y Ransomware haya hecho su trabajo, el usuario verá una pantalla parecida a esta al intentar acceder a su sitio web:
En realidad, esta versión no cifra todo tipo de archivos, extensiones como .php, .png, .htaccess, index.php no son cifrados, pero el resto de archivos si que los son, además se eliminan y reemplazan por otro con el mismo nombre pero con la extensión .EV, que es el archivo cifrado.
El tipo de cifrado es complejo, por lo que resulta prácticamente imposible descifrarlos sin la clave correspondiente.
Para conseguir dicha clave, se pide una cantidad de dinero en Bitcoin a modo de rescate.
Pese a que el archivo al que redirecciona el sitio web incluye un apartado para desencriptar los archivos al introducir una clave, no es así.
El archivo no incluye una lógica de descifrado, por lo que no funcionara, aunque se hay pagado el rescate y se haya obtenido una clave. Se trata de un engaño.
Si bien es cierto que esta variante de Ransomware proporciona la herramientas necesarias al atacante para cifrar los archivos mediante una clave, no trabaja de manera inversa.
Aunque el atacante proporcione la clave de descifrado, tendrá que ser el propio usuario el que tenga que descifrar cada uno de los archivos y se necesitan conocimientos y experiencia con PHP para poder usar la clave y recuperar los archivos cifrados.
Por lo que es muy recomendable no pagar ningún tipo de rescate.
Para poder inyectar el código malicioso en WordPress y el Ransomware pueda cifrar los archivos necesita un puerta de entrada.
Las puertas de entrada suelen ser las instalaciones de WordPress sin actualizar así como plugins o themes, por lo que es muy recomendable tener siempre actualizado con su última versión.
Instalar un plugin tipo Wordfence actualizado es también una buena opción para proteger WordPress de este y otros tipos de ataques similares.
En caso de quedar infectado, el problema puede solucionarse reemplazando los archivos cifrados desde una copia de seguridad, pero si la copia de seguridad está alojada en el mismo servidor donde se tiene instalado WordPress, es muy probable que también acabe siendo cifrada y sería imposible recuperar los archivos.
Es muy recomendable realizar copias de seguridad periódicas de cualquier instalación de WordPress y descargarlas en local o subirlas a un servidor externo tipo Dropbox, OneDrive o Google Drive para poder recuperarlas en caso de desastre.
Desde Wordfence avisan que esta versión de ransomware para WordPress puede evolucionar.
En estos momento parece inacabada pero no descartan que en un futuro sea totalmente funciona y pueda ser capaz de atacar bases de datos y todo tipo de archivos.
Tampoco descartan que el sistema sea capaz de descifrar los archivos con la clave suministrada para estimular el pago de los sitios que queden infectados.
Tampoco descartan que pueda afectar a otro tipo de instalaciones como PrestaShop o Joomla!, por lo que es muy recomendable tomar medidas aunque no se esté usando WordPress.
Más información aquí (en inglés)