Inyectan código SQL en Drupal e instalan un falso ransomware

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Como siempre la falta de actualizaciones en los sitios web es un problema. En esta ocasión los ciberdelincuentes se están ayudando de una vulnerabilidad en Drupal que tiene nada más y nada menos que dos años para inyectar código SQL e instalar un tipo de ransomware que realiza el secuestro de la página principal del sitio web pero que falla a la hora de cifrar la información.

Se trata de un problema que desde el pasado mes de marzo se ha registrado día tras día en el foro oficial del CMS, indicando muchos usuarios que en la página web de administración aparece un mensaje en el que se indica que el sitio web está bloqueado y que se deberán abonar 1,4 Bitcoin en una dirección para que de produzca el desbloqueo del sitio web y de la información. Las primeras infecciones se produjeron el día 11 del pasado mes de marzo, produciéndose una aceleración de las infecciones a partir del día 18 de ese mismo mes.

Tal y como ya hemos mencionado, a la hora de hablar de los CMS, algo que juega en su contra es no mantenerlo al día en lo referido a las actualizaciones, propiciando que los ciberdelincuentes tengan la oportunidad de acceder de forma no autorizada y modificar la información contenida en él.

Los expertos en seguridad detallan que los ciberdelincuentes se están valiendo de la vulnerabilidad CVE-2014-3704 para acceder al sitio web de forma no autorizada y modificar la información de la cuenta de administración del sitios web, es decir, la contraseña de acceso.

Esta vulnerabilidad afecta a aquellas versiones de Drupal 7.x inferiores a la 7.32, recomendando los expertos en seguridad y los propios responsables del CMS llevar a cabo la actualización para evitar problemas de seguridad como el que nos ocupa.

Los sitios web de Drupal afectados por un fauxsomeware

O lo que es lo mismo, un ransomware falso. Expertos en seguridad detallan que después de llegar al sistema tras la inyección de código SQL los ciberdelincuentes realizan la modificación de los archivos de configuración para hacer creer al propietario del sitio web que se ha procedido al cifrado de la información, algo que no es cierto. Por el momento también se sabe que existe una infraestructura en forma de servidor de control remoto pero aún no se ha logrado obtener más información.

400 sitios web infectados y nadie ha realizado el pago

Por el momento, el número de sitios web afectados continúa aumentando y la cifra se sitúa entorno a los 400. De entre todos las páginas afectadas, por el momento ninguna ha realizado el pago de la cantidad solicitada por los ciberdelincuentes, viéndose de nuevo un fracaso a la hora de desarrollar un ransomware para este tipo de contenidos.

Fuente:www.redeszone.net

 

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone
Tags: