Cabecera-v2-web.jpg

Utilizan sitios web de WordPress para distribuir un ransomware


Hace varios dí­as los investigadores de Sucuri advirtieron de una campaña se estaba llevando a cabo para comprometer la seguridad de sitios web que hací­an uso de este CMS y así­ conseguir distribuir una puerta trasera. Sin embargo, parece que las tornas han cambiado y las páginas que utilizan WordPress y han sido hackeadas se están utilizando para distribuir un ransomware.

Con anterioridad se hací­a uso de la amenaza Andromeda para infectar los equipos. Sin embargo, debido a la baja tasa de infección mostrada estos han cambiado de idea y han pasado a utilizar una nueva variante de TeslaCrypt que en la actualidad posee una tasa de detección muy baja según VirusTotal. Otros expertos en seguridad añaden que el número de dominios que en la actualidad se encuentran afectados por esta práctica asciende a más de un centenar y creen que durante las próximos dí­as seguirá creciendo.

Cuando sucede esto, las miradas se centran en los administradores de estos sitios ya que la mayorí­a de las ocasiones en las que aparecen problemas similares todo está justificado por una configuración de seguridad deficiente que ha permitido a los ciberdelincuentes conseguir el acceso al panel de control del sitio web.

Pero en esta ocasión los administradores no tienen la culpa de nada y los propios expertos en seguridad han catalogado de extraña la forma de actuar de los ciberdelincuentes en lo referido a cómo están distribuyendo la amenaza.

teslacrypt distribuido a través de blogs de wordpress


Todo parece indicar que el código JavaScript que provoca la descarga del instalador del ransomware se inyecta en la página como si de un iFrame se tratara. Pero lo más curioso de todo es que los ciberdelincuentes han conseguido que el código se replique en todos los sitios web que están alojados en el mismo servidor. Esto se ve traducido en que si procedemos a la eliminación de este código y si otro sitio web lo posee es probable que en unas horas el nuestro esté de nuevo infectado.

La variante de TeslaCrypt distribuida en WordPress posee el mismo funcionamiento que otras

El motivo que haya llevado a los ciberdelincuentes a cambiar Andromeda por una variante de este ransomware es muy sencilla: la primera la detectan todas las herramientas de seguridad, y hoy en dí­a utilizar la segunda es sinónimo de victoria al menos de forma temporal.

El funcionamiento de la amenaza es el mismo que hemos podido ver hasta el momento en otras. En primer lugar se produce el cifrado de los archivos, después se crea un documento de texto en el que se explica lo que ha sucedido. Sin embargo, la novedad podrí­a decirse que es que determinadas aplicaciones dejan de funcionar, como por ejemplo los navegadores web.

Fuente: redeszone.net
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11