Le 19 janvier 2023, un membre de l’équipe Wordfence Threat Intelligence a reçu un e-mail de son blog personnel, affirmant que le site avait été piraté, et nous avons reçu deux rapports d’utilisateurs de Wordfence qui ont reçu le même message. L’e-mail affirmait que le site avait été piraté en raison d’une vulnérabilité sur le site. L’e-mail a ensuite demandé environ 3 000 dollars de Bitcoin pour empêcher l’acteur malveillant de nuire à la réputation du site. Il ne s’agit bien sûr que d’une tactique alarmiste et non d’une véritable source d’inquiétude. Le site n’a pas été réellement piraté.

Cette campagne semble avoir commencé le ou vers le 18 janvier 2023, et bien que nos données à ce sujet soient légères, la campagne est en cours. Les messages sont envoyés par un acteur menaçant ou un bot qu’il contrôle pour soumettre le message via un formulaire de contact sur un site Web. Comme nous ne disposons pas de données sur les e-mails soumis directement via un formulaire de contact, cette campagne d’attaque est susceptible d’être beaucoup plus prolifique que les chiffres dont nous disposons.

Le message en question, qui peut être vu ci-dessous dans son formulaire de courrier électronique, est une tactique effrayante qui est utilisée pour inciter les victimes à payer pour éviter une fuite de données sensibles, des dommages au site Web ou toute autre conséquence potentielle que la vague menace peut évoquer. dans l’esprit du propriétaire du site.


From: Manie Hedin <hacker@sludgepool.org>
Subject: Your Site Has Been Hacked

Message Body:
Your Site Has Been Hacked

PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!

We have hacked your website https://<victimsite>.com and extracted your databases.

How did this happen?

Our team has found a vulnerability within your site that we were able to exploit. After finding the vulnerability we were able to get your database credentials and extract your entire database and move the information to an offshore server.

What does this mean?

We will systematically go through a series of steps of totally damaging your reputation. First your database will be leaked or sold to the highest bidder which they will use with whatever their intentions are. Next if there are e-mails found they will be e-mailed that their information has been sold or leaked and your https://<victimsite>.com was at fault thusly damaging your reputation and having angry customers/associates with whatever angry customers/associates do. Lastly any links that you have indexed in the search engines will be de-indexed based off of blackhat techniques that we used in the past to de-index our targets.

How do I stop this?

We are willing to refrain from destroying your site’s reputation for a small fee. The current fee is $3000 in bitcoins (0.14 BTC).

The amount(approximately): $3000 (0.14 BTC)
The Address Part 1: bc1qe4xvhksgapl3p76mm
The Address Part 2: fz7thdnmkeuxry08kjhcn

So, you have to manually copy + paste Part1 and Part2 in one string made of 42 characters with no space between the parts that start with "b" and end with "n" is the actually address where you should send the money to.

Once you have paid we will automatically get informed that it was your payment. Please note that you have to make payment within 72 hours after receiving this message or the database leak, e-mails dispatched, and de-index of your site WILL start!

How do I get Bitcoins?

You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM.

What if I don’t pay?

If you decide not to pay, we will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you will only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers.

This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any replies. Once you have paid we will stop what we were doing and you will never hear from us again!

Please note that Bitcoin is anonymous and no one will find out that you have complied.


Bien que cette campagne d’extorsion ne présente aucun danger réel, il est toujours important de prendre au sérieux la sécurité du site Web. Le noyau, les thèmes et les plugins de WordPress doivent être mis à jour avec les dernières mises à jour de sécurité pour corriger les vulnérabilités connues. Même avec tout ce qui est mis à jour, il peut y avoir des vulnérabilités qui ne sont pas connues publiquement et pour lesquelles aucun correctif n’est disponible. Pour cette raison, une solution de sécurité de site Web comprenant un pare-feu d’application Web (WAF) capable de bloquer les exploits courants, tels que Wordfence, doit être implémentée.

Cyber ​​observables

Bien que cette campagne d’extorsion en soit encore à ses débuts, certains observables peuvent être utilisés pour identifier et bloquer ces tentatives d’extorsion.

Adresse e-mail

hacker@sludgepool[.]org

Adresse Bitcoin

bc1qe4xvhksgapl3p76mmfz7thdnmkeuxry08kjhcn

Adresses IP

138.199.18.140
138.199.18.61
212.102.57.5
216.24.216.249
212.102.57.24

Conclusion

Dans cet article, nous avons discuté d’une campagne d’extorsion émergente où des e-mails sont envoyés aux propriétaires de sites via des formulaires de contact. Cette campagne ne constitue pas une menace réelle pour le site Web, mais sert de rappel pour maintenir les sites Web à jour et mettre en œuvre une solution de sécurité de site Web.

Indépendamment du fait qu’il s’agisse d’une arnaque, si vous souhaitez une assurance supplémentaire que votre site n’a pas été compromis à cause de cette arnaque, vous pouvez suivre notre guide pour nettoyer un site piraté ou utilisez Wordfence Se soucier ou alors Réponse pour effectuer un audit complet du site ainsi qu’une surveillance de la sécurité 24 heures sur 24 et des nettoyages illimités du site si votre site est compromis. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.


Source link