Nas últimas semanas relatos de arquivos criptografados em servidores da Web afetando pelo menos 100 sites nos alertaram de uma evolução do ransomware. Os relatos começaram em 13 de fevereiro, quando o site da Associação Britânica de Aconselhamento e Psicoterapia foi desfigurado anunciando uma variante de ransomware que evolui da infecção de computadores de desktop para aterrorizar sites.
A variante de ransomware, CTB-Locker, está codificada em PHP e está criptografando arquivos nos sites da plataforma WordPress. Ela substitui o index.php por um arquivo capaz de desfigurar o site, exibindo uma nota de resgate. O mais interessante é que um recurso de suporte por chat foi disponibilizado onde as vítimas e os sequestradores de dados podem conversar.
O pesquisador de segurança Lawrence Abrams chamou o ransomware de CTB-Locker for Websites e compartilhou suas descobertas, “Depois que o desenvolvedor (agressor) tem acesso a um site, ele renomeia o index.php ou index.html existente como original_index.php ou original_index.html. Ele então faz o upload de um novo index.php que foi criado pelo desenvolvedor que realiza a criptografia, a decodificação e exibe a nota de resgate no site hackeado. Deve-se notar que se o site não utiliza PHP, o CTB-Locker for Websites não conseguirá funcionar“.
Desde o primeiro incidente relatado sobre a variante de ransomware, o dilema era se o ataque devia ser declarado como ataque de ransomware ou se tinha apenas sido encenado para amedrontar os proprietários do site alvo. Os pesquisadores obtiveram uma cópia completa do código malicioso de um dos sites afetados e descobriram que pelo menos 102 sites foram afetados até agora.
Até agora, não foram divulgadas indicações claras sobre como os autores do ransomware conseguiram injetar e instalar o malware nos sites. Especialistas em segurança descartaram culpar uma vulnerabilidade do WordPress pois uma série de sites não usa a CMS. Eles relataram, “Os hosts infectados executam tanto o Linux como o Windows e a maioria deles (73%) hospedam um serviço Exim (servidor SMTP).”
Os pesquisadores acrescentaram que a maioria dos sites possui uma Web shell protegida por senha, o que significa que os agressores instalaram esse programa backdoor nos servidores da Web que acessaram ilegalmente. Também foi levantado que a maioria dos sites que foram vítimas continua suscetível ao Shellshock, mesmo depois da correção disponibilizada há mais de um ano. Isso mostra que os sites infectados não foram adequadamente gerenciados e mantidos por seus proprietários, mostrado pela falha da instalação de um software atualizado.
Até o momento, não existe uma ferramenta para decodificar os arquivos das vítimas. Porém, dois arquivos criptografados separadamente podem ser decodificados sem qualquer cobrança para mostrar que o resgate deve ser levado a sério.
Essa não é a primeira que uma variante de ransomware visa sites. Em novembro último, o Linux.Encoder.1 ameaçou fazer a mesma coisa. Mas uma falha criptográfica permitiu que ela fosse imediatamente descoberta e os pesquisadores conseguiram inventar uma ferramenta para decodificar. Essa pode ter sido a intenção do atentado dos agressores para replicar a mesma tática, apenas melhor. Esse pode ser o início de outro tipo de variantes de ransomware famosos aos quais os usuários devem estar atentos nos próximos meses.
