WPRansomwareDie Entwickler des Security-Plugins Wordfence für das besonders bei Bloggern beliebte CMS WordPress warnen aktuell vor schnell steigenden Zahlen von Ransomware-Attacken auf WordPress-Installationen.

Das Wordfence-Team teilt in einem Blogeintrag mit, dass ihm die Schadsoftware während einer Traffic-Analyse auf WordPress-Internetseiten auffiel.

Angriffspunkte sollen veraltete Plugins und verwundbare Themes sein, die den Angreifern den Upload des Schadcodes auf die Webserver möglich machen. Um welche Komponenten es konkret geht, kann man dem Eintrag nicht entnehmen. Wordfence macht aber klar, dass die regelmäßige Aktualisierung sämtlicher Komponenten eines WordPress-Systems das Infektionsrisiko reduziert.

Nach Angaben der Plugin-Entwickler legt die Ransomware auf kompromittierten Servern ein Webinterface an, in welches der Angreifer einen beliebigen Key eingeben kann. Die Schadsoftware erzeuge daraus dann einen Hash, mit dem sie Dateien im aktuellen Verzeichnis nebst Unterverzeichnissen verschlüsselt und mit der Dateiendung „.EV“ versieht. Danach schicke sie dem Angreifer automatisch eine Email, die sowohl den Key als auch die URL der verschlüsselten Website enthalte.

Beim Aufruf der Website im Browser werde das Opfer dann zu der Lösegeldforderung umgeleitet. Aus einem von Wordfence angefertigten Screenshot geht die Höhe dieser Forderung (0,2 Bitcoin) hervor, aktuell ca. 750 Euro. Neben der Emailadresse für die Kontaktaufnahme mit dem Angreifer zeigt die Erpresser-Website auch ein Eingabefeld für den eventuell gekauften Key.

Weil hinter der Eingabemöglichkeit angeblich keine Entschlüsselungsfunktion steht, rät Wordfence von Lösegeldzahlungen ab. Die Angreifer werden in Indonesien vermutet.