WORDPRESSをターゲットにしたランサムウェアとミャンマーのポテンシャル
ウェブサイトCMS(コンテンツ管理システム)のWordPressのセキュリティWebプラグインを作っているWordfenceチームはWordpressのウェブサイトを標的として攻撃するランサムウェアを見つけた。
Wordfenceチームは、EVランサムウェアとして知られるそのランサムウェアの起源を調べており、彼らはまた、ランサムウェアから守る方法を説明した。
ランサムウェアとは何か?
ランサムウェアは危険なソフトウェアであり、標的のコンピュータまたはネットワークサーバに攻撃者によって入れられる。
パッチからシステム全体を制御し、ランサムウェアの計画に従って実行する。
ほとんどのランサムウェアはシステムのすべてのファイルを暗号化し、暗号化されたファイルは復号化できない。
攻撃者はユーザーから金銭を要求し、その後で攻撃者は暗号化されたファイルを復号化する。
ほとんどの場合、通貨の代わりにビットコインで支払われ、今日のビットコインの値段は1ビットコイン = 4072.42ドルである。
ビットコインを使用する理由は、追跡されないで全ての支払いプロセスをカバーできるからだ。
ランサムウェアの初期の歴史は1989年の “PC Cyborg trojan horse virus”である。
IT分野の亡霊であるかのようなランサムウェアは、2017年初頭に高度に発展した。
年に約36%発展しているので、ランサムウェアの攻撃はこの間に約266%になり、攻撃された人々は平均1077ドルを支払わなければならなかった。 (出典:Symantec Threat Report 2017)
今年のランサムウェアの攻撃は以前よりも荒れており、WannaCryランサムウェアの攻撃は150カ国のたくさんの人々に影響を及ぼしている。
英国国民健康システム(UK National Health System)もWannaCry Ramsomwareによって攻撃され、攻撃されたコンピュータシステムから救急車を他の場所に移動させなければならなかった。
コンピュータシステムに依存しなければならないコンピュータ化された時代なので、コンピュータの攻撃は実生活に影響を与える。
6月には、Petya(後にNotPetyaまたはPetyaと呼ばれる)と呼ばれるランサムウェアが出てきて、ウクライナに広がった。
多くの有名な組織が攻撃され、その中にはエネルギー会社ウクライナ、チェルノブイリ原子力発電所、アントノフ・カンパニー、マースク・ショッピング・カンパニー、モードレズ・クラフト・フッド・ウクライナが含まれていた。
今のところ、ほとんどの組織と人々は、ファイルを取り返すために要求された現金を渡さなければならなかった。
時々、難解ではあるが復号化できることもある。
セキュリティ機関とFBIの団体は、攻撃者に現金を払わないことを勧めた。
攻撃者が求めるまま支払うことによって、お金を求めるより多くのサイバー攻撃が起こるという理由のために。
しかし、様々な組織は現金なしでファイルを取り戻すことができず、継続的な刑事事件は避けられないほど起こっている
WordPressをターゲットにしたランサムウェア
ほとんどのランサムウェアはシステムを使用してウィンドウズをターゲットにしていたが、現在WordfenceはWordpressのウェブサイトをターゲットとしたランサムウェアを追跡している。
彼らの調査では、ワードプレスのウェブサイトへのいくつかの危険な攻撃が見つかり、WordPress CMSのホスティングに何度もランサムウェアをアップロードする兆候がある。
ランサムウェアをWebサーバーにアップロードした後、攻撃者がユーザーにお金を求める形式は次のようなものだ。
暗号化と復号化の両方がその画面に含まれている。
攻撃者は複雑なキーを選択し、暗号化と復号化を行う。
攻撃され暗号化されたWebサイトは、この形式に変更される。
復号化できるか?
最近では、攻撃者に現金を支払っても、暗号化されたファイルは復号化することができない。
Wordfenceチームの担当者は、ランサムウェアの病気から保護することをPremium Wordfence Customersに約束した。
しかし、ウェブサイトを完全にバックアップすることで、ラムソムの攻撃を恐れる必要がなくなる。
攻撃者と人々を保護する市場の中では、縛られるのはユーザーであることを説明する。
ランサムウェアとミャンマーのポテンシャル
電子政府システムがミャンマーで広く使われていないため、ミャンマーはサイバー攻撃であまり攻撃されていない。
2009年と2010年には、大きなDDoS攻撃のために、唯一のISPであったYadanarponが何週間もインターネット接続に問題があった。
2005年から2010年の間に、この他のローカルのウイルスのような脅威を感じた。
しかしランサムウェアでは大きな影響はなく、その影響については何も言及されていなかった。
システムを24時間オンラインで使用することが少なく、インターネットネットワークの取引が全国の標準ではなかったため、このように考えられた。
しかし、2016年に発生したLockyとRyzerlo ramsomwareの攻撃は、ミャンマーのユーザーの一部に影響を及ぼしたので、レアなケースとして考えることはできない。
ミャンマーの多くのウェブサイトは、DVBニュース部門のウェブ、Ayeyarwaddyニュース部門のブログなどのニュース部門など、Wordpress CMSによって構築されていることがわかった。
多くのウェブブログもWordpress CMSによって構築されている。
それらのウェブサイトは、Wordpressを攻撃の標的としているランサムウェアに注意する必要がある。
参考: Wordfence Team: Ramsomware targeting WordPress- An Emerging Threat
