Wordpress-sites doelwit van botnet: bezoekers ook geraakt
De Politie heeft tijdens een internationale operatie het botnet SocGholish neergehaald. Dit botnet maakte gebruik van gestolen inloggegevens om toegang te krijgen tot WordPress-sites. De getroffen websites werden vervolgens ingezet om bezoekers te misleiden en malware te verspreiden. Daarom blijft het belangrijk dat eigenaren van WordPress-sites alert zijn op misbruik van hun website.
Bezoekers worden misleid
Bezoekers worden misleid om een .zip of .js bestand te downloaden en uit te voeren. Dit kan leiden tot een malwarebesmetting en mogelijk tot diefstal van inloggegevens van de betreffende bezoeker. Vervolgens kunnen verschillende vormen van malware, zoals ransomware, bij de bezoeker worden geïnstalleerd. Het gaat hier om een social-engineeringtechniek die schade kan veroorzaken bij bezoekers én reputatieschade voor de getroffen site.
Controleer je Wordpress-website
Als eigenaar van een Wordpress-site zijn er diverse maatregelen om je website te beschermen tegen deze malware. Lees hieronder wat je kan doen:
- Controleer of er beheeraccounts bestaan die beginnen met wp-maintenance- of wp-backup- (Indien één of meerdere accounts bestaan, is dat een indicatie voor een besmetting. Zo niet, dan is besmetting nog niet uitgesloten.) Verwijder deze als ze niet bekend zijn.
- Zet multifactorauthenticatie (MFA/2FA) aan voor beheerders en beveilig ook het beheer-e-mail adres met MFA. Zie deze pagina voor meer informatie.
- Beperk toegang tot /wp-admin met IP-whitelisting.
- Beperk het aantal beheerders.
- Gebruik sterke unieke wachtwoorden (en maak gebruik van een wachtwoordmanager).
- Zet meldingen aan voor acties die niet vaak voorkomen (zoals thema/nieuwe plugin installaties en rolwijzigingen).
- Zet logging aan voor wijzigingen en inlogpogingen.
- Gebruik een WAF (Web Application Firewall) of WordPress-firewall om verdachte verzoeken te blokkeren.
- Blokkeer het uitvoeren van php-bestanden in de uploads map (wp-content/uploads/)
- Houd WordPress, plugins en thema's up-to-date en verwijder ongebruikte plugins/themes.
- Installeer alleen plugins/themes van betrouwbare bronnen.
- Schakel ingebouwde bestandsbewerking van Wordpress uit als het niet wordt gebruikt.
- Zorg voor goede back-ups (niet op dezelfde webserver).
- Gebruik monitoring (malware scan/file-integrity) zodat onverklaarbare wijzigingen snel opvallen.
Vermoed je misbruik? Zet de site tijdelijk in onderhoud, herstel bij voorkeur vanaf een schone back-up, breng het systeem up-to-date en verander alle wachtwoorden.
Wees als bezoeker alert op verdachte updates
Als bezoeker van een Wordpress-website is het belangrijk dat je alert bent op verdachte updates. Bij een website besmet met SocGholish is een melding te zien die lijkt op een echte browserupdate (bijvoorbeeld Update Chrome/Edge). Deze melding is nep: er wordt aan je gevraagd om een .zip of .js bestand te downloaden en uit te voeren. Browsers updaten normaal via de browser zelf of via de officiële app (je kan de browser alleen updaten vanuit de browser zelf of via de officiële app store, er is nooit een melding te zien bij het bezoeken van websites).
Door middel van infostealers worden gegevens zoals inloggegevens, financiële informatie, e-mails en systeeminformatie van de computer van het slachtoffer gestolen en doorgestuurd naar de crimineel. De buitgemaakte gegevens kunnen door de criminelen verkocht worden. Let op de volgende signalen om dit te voorkomen:
- Download niets en open de gedownloade bestanden niet.
- Sluit het tabblad/de browser en update uw browser alleen via de officiële instellingen.
- Microsoft Edge: Instellingen > Over Microsoft Edge
- Google Chrome: Menu > Help > Over Google Chrome
- Mozilla Firefox: Menu > Help > Over Firefox
Wat te doen als het bestand toch is uitgevoerd:
- Laat een volledige virusscan draaien en verwijder verdachte downloads.
- Schakel een virusscanner nooit uit om een programma te installeren.
- Log uit op alle actieve sessies van belangrijke accounts, zodat gestolen sessies ongeldig worden.
- Wijzig wachtwoorden van belangrijke accounts, zoals e-mail, werk- en bankaccounts, vanaf een schoon apparaat.
- Zet waar mogelijk multifactorauthenticatie (MFA/2FA) aan en gebruik sterke, unieke wachtwoorden, bij voorkeur met een wachtwoordmanager.
- Sla wachtwoorden niet op in je browser.
- Bij twijfel over besmetting of wanneer het een werkapparaat betreft: meld het bij jouw IT/security-partner.
Zie voor meer informatie ook de pagina van de politie op ....
NCSC informeert website-eigenaren
We informeren actief website-eigenaren van getroffen websites. Niet altijd kan hier een contactadres gevonden worden voor het direct informeren. Ben je beheerder van een WordPress website, en heb je geen notificatiemail ontvangen van het NCSC, raden we alsnog aan om met de genoemde adviezen aan de slag te gaan.
Over Operatie Endgame
Het neerhalen van het botnet is onderdeel van Operatie Endgame die in 2024 gestart is, en is de grootste internationale operatie ooit in het bestrijden van ransomware en cybercrime wereldwijd.
In Operatie Endgame werkt het NCSC nauw samen met de Politie, OM, de autoriteiten van Duitsland, Denemarken, de Verenigde Staten, Australië, Frankrijk, België, het Verenigd Koninkrijk en Canada - met ondersteuning van Europol en Eurojust. Ook private partijen zijn nauw betrokken bij Operatie Endgame.