Sicurezza

Hackerato il blog del “The Independent”, migliaia di utenti a rischio ransomware

WordPress è sicuramente uno strumento molto utile per creare il proprio blog, ma è anche una piattaforma costantemente tenuta d'occhio dagli hacker che, come ha sicuramente avuto modo di notare il sito The Independent, non mancano di trovare delle falle.

In particolare, il famoso sito di news inglese usa WordPress per gestire tutti i blog collegati alla sua attività, ma qualcuno se n'è accorto ed è riuscito a infettare i server con del codice malevolo in grado di dirottare i visitatori verso un server che cerca di installare Cryptesla 2.2.0.

neo independent figure1
La pagina del blog compromessa dall'attacco è abbastanza vecchia, ma genera ancora traffico. Non è ancora chiaro perché non sia stato attaccato qualcosa di più recente.

La scoperta è stata fatta dal ricercatore di Trend Micro Joseph Chen, mentre monitorava le attività relative al kit di malware noto come Angler.

"Secondo me le mie indagini" – scrive Chen sul blog di Trend Micro – "la pagina compromessa del blog redirige utenti verso il server malevolo da almeno il 21 di novembre, se non prima".

La vulnerabilità coinvolta in questo attacco è la CVE-2015-7645, relativa a (indovinate un po'…) Flash Player, appena aggiunta al kit di Angler e sfruttata in grande stile.

neo independent figure2
La schermata del ransomware che chiede il riscatto è quella standard e offre vari linguaggi tra i quali scegliere per farsi rapinare nella propria lingua.

Chen fa anche notare che il kit Angler è quello che ha sfruttato in maniera più attiva e continuativa le vulnerabilità zero day rilasciate dopo il grave attacco ad Hacking Team.

Durante le sue indagini, il ricercatore ha anche cercato di ottenere un conteggio delle vittime dell'attacco e nel grafico riportato qui sotto si vede come ci siano punte di addirittura 4000 utenti al giorno entrati in contatto con il server malevolo.

Non si sa quanti arrivino dal The Independent, ma sono comunque numeri di un certo rilievo, soprattutto pensando al fatto che la pagina è stata hackerata circa 20 giorni fa e a ieri sera risultava ancora online.

new independent graph
Il grafico dei contatti giornalieri dimostra che il business dei ransomware è ancora vivo e vegeto.

La maggior parte degli antivirus riconosce il payload dell'Angler kit, quindi se avete una suite di sicurezza installata sul PC o se, più semplicemente, avete aggiornato il flash player all'ultima versione, siete al sicuro dall'infezione.