Crooks usado injeções de SQL de hackear sites de Drupal e instalar ransomware falso – compra exclusiva bitcoin com cartão de crédito

atacantes desconhecidos estão aproveitando uma vulnerabilidade de dois anos de idade, nas instalações do Drupal para invadir locais e instalar ransomware baseado na Web que seqüestra a página principal do site, mas não criptografar os arquivos.

As primeiras vítimas registradas reclamando sobre esta nova estirpe de ransomware apareceu no final de março, no fórum oficial do Drupal como comprar bitcoin estoque. os administradores do site foram descrevendo seus sites, "sendo bloqueado" com uma mensagem que dizia:

As informações fornecidas à Softpedia por Stu Gorton, CEO e co-fundador da Forkbombus Labs, mostra que as primeiras infecções começaram a aparecer no dia 11 de março, mas realmente ganhou velocidade após 18 de março onde comprar bitcoins Reino Unido. Atacantes usando falha de injeção SQL para entrar em

bot digitalização do atacante extrai versão do site do Drupal, em seguida, utiliza a vulnerabilidade CVE-2014-3704 para invadir os sites afetados e, eventualmente, alterar a senha do usuário administrador.


Mesmo que os scans bot para o arquivo joomla.xml, não há relatos de sites Joomla infectados, e Sr. Bitcoin janelas de software de mineração. Gorton disse Softpedia o ator ameaça removido digitalização Joomla numa fase posterior bitcoins comprar. Ransomware é realmente "fauxsomeware"

Sr. Bitcoin ao vivo. Gorton também informou Softpedia que uma vez que a ameaça ganhos ator controle do site com a ajuda da injeção de SQL, operações automatizadas de criar uma nova página no site do Drupal que contém um formulário de upload de arquivos.

bot do bandido então usa este formulário para fazer upload de vários scripts que extraem e-mails a partir do banco de dados Drupal e torná-los disponíveis em "/ sites / default / files /" arquivos como download onde comprar bitcoin. O .htaccess nesta pasta também é excluído, assim que o atacante pode acessar a página e baixar os arquivos.

Após este termina, o último arquivo enviado é um arquivo binário escrito na linguagem de programação Go, que é a torneira ransomware real bitcoin 2017. Este binário Go elimina o formulário de upload de arquivos e substitui-lo com o bilhete de resgate visto acima.

"Deve ficar claro que este é fauxsomeware, ao invés de ransomware, como nada é criptografada ou verdadeiramente bloqueado," Sr bitz bitcoin livre de mineração nuvem. Gorton disse Softpedia. "Simplesmente, o conteúdo dos nós disponíveis são substituídos com a nova mensagem Bitcoin como usar. Parece, no entanto o bot tem dificuldade para substituir a informação sobre nós com formatos atípicos, como vários compromissos que temos testemunhado ainda tem uma grande parte dos seus dados intactos."

Mr. Gorton também observou a existência de um C&C infraestrutura de servidor por trás desses ataques em sites Drupal, mas a empresa ainda está investigando seu modo de operação aumento bitcoin. Cerca de 400 sítios foram infectadas, ninguém pagou o resgate

Cerca de 400 sites parecem estar infectado com este ransomware no momento da escrita. O endereço Bitcoin usado para o resgate não tem transações registradas, ou seja, ninguém pagou o resgate como desta vez.

A mesma coisa aconteceu no início deste ano com CTB-Locker e KimcilWare, duas variantes ransomware também alvo sites. Mesmo que essas duas ameaças criptografadas arquivos do site, os administradores nunca pagou o resgate porque mesmo o pior serviço Web hosting fornece backups automáticos de onde eles poderiam recuperar uma versão limpa do seu site.

Quanto a este ransomware Drupal-alvo, este parece ser mais uma tentativa de desenvolver ransomware para a Web que falhou tão miseravelmente quanto CTB-Locker e KimcilWare. E para ser justo, só de olhar através dos poucos sites Drupal atingidas por esta ransomware, todos eles parecem ter sido abandonado por seus criadores, de modo nenhum dano real foi feito. Se você se lembrar da instalação de um CMS Drupal ultimamente, certifique-se quer atualizá-lo ou apagá-lo se ele não tem nenhum propósito ou apenas um local de teste mais velho.