Ransomware attacker, dvs att en angripare krypterar filer för att sedan kräva en lösensumma för att dekryptera dessa, mot WordPress installationer har tidigare varit sällsynt men i Juli 2017 så upptäcktes en begynnande ökning av attacker.
En kort introduktion till Ransomware
Ransomware är en skadlig programvara som angripare installerar på din dator eller på din server. De använder sårbarheter och säkerhetshål, vanligtvis i WordPress tema eller i plug-in’s, för att få tillgång till ditt system.
När väl ransomware har fått tillgång till systemet så startar det automatiskt att kryptera alla filer med en mycket stark krypteringsnyckel. När filerna är krypterade visas en bild på skärmen där angriparen kräver en lösensumma för att dekryptera filerna, vanligtvis i valutan ”bitcoin”” vilken ger angriparen en anonymitet.
Ransomware växer idag snabbt. 2017 släpptes 100 nya ransomwarevarianter och det var en ökning med 36% av ransomwareattackerna globalt sett. Den genomsnittliga kravet på lösensumma ökade med 266% till i genomsnitt $1077 per drabbad. [Källa: Symantec Threat Report 2017]
Under 2017 har det inträffat en stor mängd ransomware attacker som var otänkbara för några år sedan. I maj drabbade ”Wannacry” hundratusentals användare i över 150 länder, bl.a. det brittiska ”UK National Health System” som då bl.a. tvingades att dirigera om ambulanser till andra sjukhus.
I juni spreds ”Petya” (även kallad ”NotPetya” eller ”Netya”) från Ukraina. Även denna drabbade ett stort antal användare och företag, bl.a. Ukrainas energi myndighet, Tjernobyl kärnreaktor, Antonov Flyg, Maersk samt Modelez.
Drabbade företag har i vissa fall betalat lösensumman trots att FBI och andra myndigheter rekommenderar att inte betala då det inte finns någon garanti för att angriparen verkligen kommer att dekryptera filerna. Även svenska myndigheter uppmanar att inte betala.
Ransomware siktar nu in sig på WordPress installationer
De flesta ransomware har tidigare riktats mot Windows datorer. Säkerhetsföretag ser dock nu en kraftigt ökande trend där attackerna riktar sig mot WordPress installationer. Angriparen får tillgång till WordPress installationen via en sårbarhet/ett säkerhetshål i exempelvis tema eller plug-in. Därefter laddas ransomware upp till webbserver och kryptering av filer börjar.
En variant av denna ransomware som bevakas av säkerhetsföretagen är ”EV ransomware”. Efter att krypteringen är utförd så visas en skärm med instruktioner om lösensummans storlek och hur den skall betalas för att filerna skall dekrypteras. Tyvärr finns det absolut ingen garanti att en dekryptering sker.
Därför rekommenderar också vi att inte betala lösensumman!
Hur skyddar man sig mot denna attack?
Det finns plug-in’s som hindrar från dessa attacker, t.ex. ”Wordfence”. WP Support erbjuder tjänsten ”WP Säkerhet” där vi bevakar, underhåller och skyddar er webbplats mot skadlig kod och attacker, inklusive ransomware.
Vi rekommenderar även att ni har pålitliga säkerhetskopior som INTE lagras på webbservern. Om så görs så kommer ju även dessa att vara krypterade och alltså oanvändbara och värdelösa. Lagra säkerhetskopior offline, helst enligt ”3-2-1” principen:
- Minst 3 kopior av data (original samt två kopior)
- Lagra kopiorna på två olika lagringsenheter
- Lagra minst en kopia offsite (annan byggnad/ort/plats)
Vem är ansvarig för attacken?
Analyser indikerar på att attacken ursprungligen kommer från Indonesien. Det finns idag infekterade webbplatser i andra länder som även de sprider denna ransomware.
Förväntas att utvecklas till en avancerad och kraftigt utbredd Ransomware
”EV ransomware” förväntas att under de närmsta månaderna utvecklas till ett ännu mer avancerat hacker verktyg som då även krypterar databasen som WordPress bygger på. Den version som existerar idag klarar inte av att dekryptera men är mer än tillräckligt för att pressa ägare av drabbade webbplatser till att betala lösensumman.