De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
WordPress en Joomla behoren nog altijd tot de meest populaire contentmanagementsystemen (CMS’en). Maar hierdoor zijn ze ook populair voor cybercriminelen die deze platformen targeten voor hacking en het injecteren van kwaadaardige content.
ThreatLabZ-onderzoekers van Zscaler hebben de afgelopen weken verschillende WordPress- en Joomla-sites gevonden die waren geïnfecteerd met Shade-/Troldesh-ransomware, backdoors en redirectors, en verschillende phishing-pagina’s bedienden. De meeste bedreigingen zijn het gevolg van kwetsbaarheden in gebruikte plug-ins, thema’s en extensies.
Shade-/Troldesh-ransomware
Shade-ransomware is behoorlijk actief. Er zijn een aantal aangetaste WordPress- en Joomla-sites gedetecteerd die worden gebruikt om de ransomware te verspreiden. Het gaat hierbij om WordPress-sites, versies 4.8.9 tot 5.1.1, die SSL-certificaten gebruiken die zijn uitgegeven door ACME (Automatic Certificate Management Environment)-gedreven certificeringsautoriteiten (CA), zoals Let’s Encrypt, GlobalSign, cPanel en DigiCert. Deze aangetaste WordPress-sites hebben mogelijk verouderde CMS-plug-ins/-thema’s of server-side software die ook de reden voor het misbruik kunnen zijn.
In de afgelopen maanden blokkeerde Zscaler transacties voor de gecompromitteerde WordPress- en Joomla-sites vanwege Shade-ransomware-payloads (13,6%) en phishing-pagina’s (27,6%), alsook coinminers, adware en kwaadaardige redirects.
Verborgen directory op de HTTPS-sites
Zscaler heeft de HTTPS-sites enkele weken gemonitord en ontdekte dat de aanvallers een verborgen directory gebruikten voor het opslaan en distribueren van de Shade-ransomware en phishing-pagina’s. Deze verborgen well-known-directory in een website is een URI-prefix voor well-known locaties en wordt doorgaans gebruikt om het eigendom van een domein aan te tonen.
Beheerders van HTTPS-websites die ACME gebruiken voor het beheren van SSL-certificaten plaatsen een unieke token in die directory om aan te tonen dat ze het domein beheren. Ze ontvangen van de CA een specifieke code voor in die directory, waarna de site gescand wordt om deze code te valideren. Aanvallers gebruiken deze locaties nu om malware- en phishing-pagina’s te verbergen voor de beheerders. Een effectieve tactiek omdat de directory aanwezig is op de meeste HTTPS-sites en bovendien verborgen is.
Hieronder een overzicht van van de verschillende soorten bedreigingen die zijn gevonden in de verborgen directory:
What to do?
Deepen Desai, VP Security Research bij Zscaler, adviseert organisaties het volgende: “De meerderheid van de aangevallen websites in deze ransomware-campagne waren geïnfecteerd en hadden HTTPS ingeschakeld. Dit benadrukt het belang van een zorgvuldige SSL-inspectie binnen de netwerkbeveiliging-stack van organisaties, om zo effectief kwaadaardige content, afkomstig van geïnfecteerde websites, te detecteren en blokkeren.”
Medewerkers trainen
Desai vervolgt: “Security-trainingen voor medewerkers zijn eveneens belangrijk, aangezien slachtoffers vaak getarget worden via e-mails met links naar websites die fungeren als phishing-pagina of ransomware-payload. Medewerkers moeten ervoor zorgen dat zij niet klikken op links in ongevraagde e-mails, met name wanneer het een onbekende externe afzender betreft.”
[Fotocredits © Bits and Splits – Adobe Stock]
Verder lezen over Hacken
Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Cybercrime02.11.2023
Boeing getroffen door een ransomware hack
De veiligheid van toestellen, op de grond en in de lucht, is niet in gevaarCybercrime05.10.2023
Convenant cybersecurity sector voor de strijd tegen ransomware
Cybercrime08.09.2023
Apple lost twee zeroday kwetsbaarheden op in iOS
Advies: installeer deze update zo snel mogelijkCybercrime30.08.2023
Politie maakt einde aan ‘s werelds grootste botnet Qakbot
Cybercrime08.08.2023
Mysterie rondom hoge stralingspieken rond Chernobyl breidt uit
Verder lezen over Hackers
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Cybercrime08.02.2024
Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime28.11.2023
Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit
Wrong!Cybercrime20.11.2023
Last minute decemberaankopen: een feest voor fraudeurs
Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Verder lezen over Malware
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime28.11.2023
Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit
Wrong!Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Cybercrime09.11.2023
Flinke toename in cyberaanvallen gericht op gamers
Online06.11.2023
Fraude met online aankopen: de gemiddelde schade neemt toe
Verder lezen over Wordpress
Online19.09.2023
WordPress maakt een grote sprong: linkt nu met Mastodon
But first, fediverse.Social Media02.05.2023
WordPress-gebruiker? Je kunt je posts niet meer tweeten
Online20.10.2020
WordPress onderhoud stappenplan
Online25.08.2020
Update: Apple biedt excuses aan WordPress
Online01.11.2019
Is WordPress het juiste platform voor jouw nieuwe startup website?
Social Media14.08.2019
Tumblr wordt verkocht aan WordPress-eigenaar Automattic Inc.
Search19.12.2018
YoastCon 2019: Dé SEO & online marketing conferentie die je niet wilt missen!
Search12.11.2018