Como siempre la falta de actualizaciones en los sitios web es un problema. En esta ocasión los ciberdelincuentes se están ayudando de una vulnerabilidad en Drupal que tiene nada más y nada menos que dos años para inyectar código SQL e instalar un tipo de ransomware que realiza el secuestro de la página principal del sitio web pero que falla a la hora de cifrar la información.
Se trata de un problema que desde el pasado mes de marzo se ha registrado día tras día en el foro oficial del CMS, indicando muchos usuarios que en la página web de administración aparece un mensaje en el que se indica que el sitio web está bloqueado y que se deberán abonar 1,4 Bitcoin en una dirección para que de produzca el desbloqueo del sitio web y de la información. Las primeras infecciones se produjeron el día 11 del pasado mes de marzo, produciéndose una aceleración de las infecciones a partir del día 18 de ese mismo mes.
Tal y como ya hemos mencionado, a la hora de hablar de los CMS, algo que juega en su contra es no mantenerlo al día en lo referido a las actualizaciones, propiciando que los ciberdelincuentes tengan la oportunidad de acceder de forma no autorizada y modificar la información contenida en él.
Los expertos en seguridad detallan que los ciberdelincuentes se están valiendo de la vulnerabilidad CVE-2014-3704 para acceder al sitio web de forma no autorizada y modificar la información de la cuenta de administración del sitios web, es decir, la contraseña de acceso.
Esta vulnerabilidad afecta a aquellas versiones de Drupal 7.x inferiores a la 7.32, recomendando los expertos en seguridad y los propios responsables del CMS llevar a cabo la actualización para evitar problemas de seguridad como el que nos ocupa.
Los sitios web de Drupal afectados por un fauxsomeware
O lo que es lo mismo, un ransomware falso. Expertos en seguridad detallan que después de llegar al sistema tras la inyección de código SQL los ciberdelincuentes realizan la modificación de los archivos de configuración para hacer creer al propietario del sitio web que se ha procedido al cifrado de la información, algo que no es cierto. Por el momento también se sabe que existe una infraestructura en forma de servidor de control remoto pero aún no se ha logrado obtener más información.
400 sitios web infectados y nadie ha realizado el pago
Por el momento, el número de sitios web afectados continúa aumentando y la cifra se sitúa entorno a los 400. De entre todos las páginas afectadas, por el momento ninguna ha realizado el pago de la cantidad solicitada por los ciberdelincuentes, viéndose de nuevo un fracaso a la hora de desarrollar un ransomware para este tipo de contenidos.
Fuente:www.redeszone.net
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
