【掩眼法】300個WordPress網站被勒索0.1個Bitcoin 專家揭破加密謊言
超過 300 個 WordPress 網站被勒索集團攻擊,當網主登入 WordPress 網站時,突然發現所有內容消失得一乾二淨,而且更顯示一個勒索告示,要求網主支付 0.1 個 Bitcoin 作為解鎖費。不過,網絡安全專家指出網站實際上並未有被加密,只是犯罪集團的掩眼法……
網絡安全公司 Sucuri 的發言人表示,公司早前受到一個客戶求助,指自己的 WordPress 網站受到上述的加密攻擊,由於網站內容一夜之間蒸發,唯有找尋專家幫忙,希望不用支付贖金去回復網站正常運作。經專家調查後,便發現勒索集團原來並沒有對網站內容進行加密,他們只是借助一個 WordPress 的外掛程式 Directorist,製造出一個網站已被加密的假象。專家解釋,Directorist 本身是一個協助網主於網站建立網上業務目錄的外掛程式,因此擁有一定修改網站內容的權限。
當集團成員登入安裝有 Directorist 的 WordPress 網站,便利用這個外掛於首頁顯示勒索訊息,同時並將已刊登的貼文,全部修改變回草稿狀態,因此受影響網站便變成全無內容,令網主誤信網站真的已被加密。集團成員還於首頁加入一個倒數計時錶板,為網主添加壓力去盡快付款。要將網站還原,專家指方法非常簡單,只要將 Directorist 外掛程式移除,同時將所有貼文重新發布即可。
破解手法雖然非常簡單,不過,專家在分析其餘約 290 個受影響 WordPress 網站後,發現犯罪集團入侵後第一個登入的地點是管理員版面,顯示黑客可能是以暴力破解 (brute-force) 密碼,又或於黑市購買帳戶登入資料來完成這次入侵,可見受影響網站的網絡安全性相當脆弱。專家建議如想避免同類事情發生,必須細心審視網站有否可疑的管理員帳戶、改用強密碼、開啟雙重因素驗證 (2FA) 功能,以及加裝網絡防火牆。另外,可靠的數據備份,可讓企業在遭受真正的加密攻擊時,仍能靠備份回復網站內容。
