RansomWaPe v.1: primer ransomware para WordPress

Lo prometido es deuda. Ya había comentando en algunos sitios que llevaba tiempo trabajando en crear un pequeño ransomware para WordPress para usarlo en las diferentes charlas y talleres que doy sobre seguridad de este gestor de contenido. Por ejemplo la del próximo 12 de diciembre en el congreso Sec/Admin.

ransomwapeMi finalidad es totalmente educativa y para realizar las diferentes pruebas he usado un pequeño laboratorio en casa con un Apache, MySql y WP montados en local. El plugin ha sido bautizado con el nombre de “RansomWaPe“, he decidido llamarlo así para jugar un poco con las letras principales de “WordPress” y su forma abreviada de escribirlo “WP”, con la funcionalidad del plugin que es ransomware.

¿Qué es un ransomware?ransomware

Buscando en Google encontramos un montón de información. Quizás nos venga a la cabeza rápidamente son el famoso CryptoLocker/Cryptowall y la noticia de los “nuevos” ransomware orientados a servidores linux. También el conocido virus de la policía que hemos visto como ha ido evolucionando adaptándose para engañar a las víctimas.

Volviendo hablar del plugin este solo podrá ser utilizado en caso de post-explotación de una web con WP. El atacante instalará el plugin y automáticamente al activarse se cifrará los contenidos y títulos de las entradas del blog. De momento en esta versión solo cifrará eso aunque se puede ampliar a todo el contenido de la base de datos, sin afectar al funcionamiento del sistema.

En este caso tendremos 2 partes: el plugin y el servidor con la API que escuchará las peticiones de las victimas devolviendo la clave de cifrado. Se guardará junto al ID, URL de la víctima y hora de la inserción de los datos de las entradas en la base de datos

FUN-ransomwape

Como podéis ver el funcionamiento es muy simple. Algunas de las  mejoras que se pueden aplicar es el cifrado de la base de datos del servidor anticipando que si se llegará a encontrar el servidor no puedan tan fácilmente obtener las claves para descifrar los datos. También se podría pasar la petición de la víctima por un tunel de tal manera que dificulte el rastreo de las comunicaciones cliente-servidor. Y así mil cosas…

Más adelante publicaré un plugin anti-ransomware para WordPress y varias entradas dedicadas al forense en WordPress que está siendo atacado o ha sido atacado. Todo esta información estará con antelación en los diferentes cursos y talleres que doy. Si estás interesado en asistir alguno puedes enterarte a través del blog de QuantiKa14 o mi Twitter.

Os dejo un vídeo del funcionamiento del bichito.

Por lo demás deciros que también publicaré un video de como funciona el código para las pequeñas modificaciones que se pueden hacer y la instalación del servidor. ¡Un saludo!

descargar

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s