Ransomware har genopfundet sig selv og angriber nu Wordpress-websider

Ny udgave af ransomware-varianten CTB Locker har rettet opmærksomheden mod sårbare Wordpress-websider

Ransomware-varianten CTB Locker dukkede første gang op i midten af 2014, hvor den havde Windows-baserede computere som mål. Nu er den tilbage i en ny udgave, som går efter Wordpress-websider. Det skriver det britiske teknologimedie The Register.

Websideversionen af CTB Locker finder vej til websider via hackere, der omdøber websidens eksisterende index.php- eller index.html-fil og uploader en ny index.php-fil, der ikke blot sørger for at kryptere websidens indhold med en AES-256 kryptering, men også placerer et løsesumskrav på websidens forside.

Chat med gidseltagerne

Der er endda en indbygget chatfunktion, så den angrebne part kan komme i kontakt med gidseltagerne, hvis de nu skulle have behov for hjælp med hvordan de betaler den 0,4 Bitcoin store løsesum. Ligesom der er mulighed for at dekryptere to filer, for at verificere at løsesumskravet er ægte.

Ifølge bloggeren Lawrence Abrams fra websiden Bleeping Computer er truslen imidlertid til at overskue. For det første kan CTB Locker kun fungere på websider, der benytter PHP. For det andet kan ransomwaren ikke kryptere den underliggende database, som de fleste større websites benytter til at lagre data.

Derfor kræver det det ikke andet end en simpel upload af ukrypterede backupfiler for at genoprette websiden. Og så måske et kritisk blik på ens givetvis usikre Wordpress-installation.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (3)

Johan Holst Nielsen

Ifølge bloggeren Lawrence Abrams fra websiden Bleeping Computer er truslen imidlertid til at overskue. For det første kan CTB Locker kun fungere på websider, der benytter PHP. For det andet kan ransomwaren ikke kryptere den underliggende database, som de fleste større websites benytter til at lagre data.

Det er da lidt noget rod, der påståes her. Hvis personen har adgang til Wordpress-filerne, må det være simpelt, at hente database credentials ud fra wp-config.php - dumpe databasen i en SQL fil, der ryger med i krypteringen - og så sletning af hele databasen.

Det kan sagnes være denne funktion ikke er indbygget i angrebet endnu - men det er ikke rakatvidenskab, at tilføje den.

/Johan

Johnnie Hougaard Nielsen

Det kan sagnes være denne funktion ikke er indbygget

Funktionen er netop ikke indbygget. Altså kan CTB Locker ikke lave database kryptering. Det gør det selvsagt ikke umuligt at lave et andet stykke ransomware med en "grundigere tilgang".

Mere generelt giver de nemme php-baserede content management systemer det paradoks at især henvender sig til dem som ikke vil bruge mange kræfter på teknik, men samtidig kræver en stor opmærksomhed på svagheder og rettelser.

Log ind eller opret en konto for at skrive kommentarer