Una infección en WordPress deja ransomware en muchos sitios web

wordpress-ransomware

Una gran cantidad de sitios alojados en WordPress ahora están infectados con un ransomware que las herramientas de software de seguridad modernas no pueden detectar.

Los investigadores de seguridad de Heimdal encontraron una gran cantidad de estas infecciones de WordPress que hacen que los sitios comprometidos atraigan a usuarios desprevenidos a los dominios de Internet que contienen el Nuclear Exploit Kit. Este tipo de kit contiene grandes volúmenes de exploits que se pueden usar para comprometer los productos Flash, Reader y Acrobat de Adobe, así como herramientas de Microsoft como Internet Explorer y Silverlight.

wordpress-ransomware

El Nuclear Exploit Kit se ha visto en la memoria reciente, en la que se había utilizado para lanzar ransomware en varias computadoras.

Peor aún, hay otras iteraciones del Nuclear Exploit Kit que dejan el ransonmware Cryptowall más dañino en computadoras comprometidas, el más reciente de tales incidentes tuvo lugar en noviembre del año anterior.

Según los expertos en seguridad de Heimdal, la campaña de ransonmware se está utilizando para colocar Teslacrypt en las computadoras de destino. Teslacrypt es una especie de cripto-ransomware que cifra los archivos contenidos en el disco duro local de una computadora y solicita a los propietarios un rescate en forma de Bitcoin, por ejemplo, a cambio de la clave para desbloquear los documentos cifrados.

El ransomware Teslacrypt funciona de manera sutil, lo que significa que sería difícil para las víctimas notar una actividad irregular dentro de su sistema informático. Pero más concretamente, Teslacrypt es motivo de gran preocupación para las personas debido a su impacto sustancial en los aspectos financieros y de seguridad de las víctimas.

Teslacrypt se actualizó en julio del año pasado con un nuevo esquema de cifrado que imita las características del ransomware Cryptowall. Las infecciones de WordPress más recientes funcionan para explotar una falla desconocida utilizando un JavaScript ofuscado. Cuando los usuarios visitan un sitio comprometido, serán redirigidos a otro dominio denominado chrenovuihren. Una vez en el dominio, un anuncio fraudulento en línea pide a los usuarios que vayan a un sitio que aloja el Nuclear Exploit Kit, sin que ellos lo sepan.

La campaña de ransomware aprovecha una serie de dominios para implementar el código malicioso. Estos dominios, de hecho, actúan como subdominios de chrenovuihren. Al momento de escribir este artículo, los expertos en seguridad han podido bloquear casi 90 dominios.

Sería útil actualizar el sistema de gestión de contenido de WordPress para evitar caer presa de este tipo de ransomware, según los investigadores. Mejor aún, implemente un plan de respaldo para protegerse contra cualquier tipo de ransomware.

0 Shares