Sequestro de Lojas Magento, Cyber Extorsão e Ransomware

Hoje, vou comentar sobre a importância de ter uma loja virtual Magento com todos os patches aplicados e a importância de dar a devida atenção nos itens de segurança para evitar ser alvo da nova onda de sequestro de lojas Magento que tem atingido principalmente aquelas lojas que não possuem os patches de segurança.

Fui contratado para dar suporte na loja Magento de um novo cliente, após realizar uma verificação, constatei que nenhum Patch de segurança havia sido aplicado até aquele momento.

O sistema em questão, é um Magento 1.7.0.2, que não seguia nenhuma das boas práticas de segurança do Magento:

* Url do painel administrativo padrão /admin.
* Nome de usuário padrão: admin.
* Pasta downloader sem restrição.
* E o mais grave: Nenhum Patch de segurança aplicado.

Como de costume, sempre que vou realizar qualquer procedimento em uma loja Magento, a minha primeira ação é a de criar uma cópia e criar um ambiente de homologação, onde todos os ajustes/customizações são realizados, sendo que após testes e aprovação essas alterações são aplicadas na loja em produção.

Após realizar a cópia dessa loja, tornando-o o ambiente de testes, realizei uma verificação com o Mage Report.

Eis que para minha surpresa, me deparo com o seguinte aviso:

magento2-cyber

Imediatamente, iniciei uma análise dos arquivos da loja, verifiquei que dentro da pasta /skin do magento foram adicionados os seguintes arquivos:

1.sh
404.php
error.php
host
index.crypto
index.php
Mage.php
publickey.pub
readme.crypto

Esses arquivos já tinham mais de 30 dias de “injetados” e ainda não haviam sido executados, ou seja, embora a loja tivesse sido infectada com os arquivos que iriam realizar a encriptação e solicitar o pagamento em bitcoins para liberação da chave, esses arquivos ainda não haviam sido executados pelo atacante, mas com certeza este estava para se tornar mais caso entre vários de sequestros de loja Magento.

Além dos arquivos injetados, verifiquei que 11 usuários administradores foram adicionados:

magento2-cyber-01

Realizei mais uma varredura em todos os arquivos da loja, principalmente em busca daqueles em que a ultima modificação coincidia com a data de inserção dos arquivos injetados.

Neste caso, não havia sinal de qualquer outro tipo de comprometimento dos arquivos, então o foco passou para os arquivos da pasta /skin:

magento2-cyber-02

Nenhum desses arquivos é verdadeiramente do Magento (exceto as três pastas),

Vale destacar aqui o conteúdo do arquivo index.crypto:

Nele há a informação que os arquivos foram criptografados, instruções de pagamento de 1 bitcoin para voltar a ter acesso aos arquivos, e o mais irônico é a última linha:

“Você poderá contactar o nosso suporte em caso de dificuldades”

magento2-cyber-03

Caso você encontre estes mesmos arquivos na pasta /skin, se novos usuários administradores foram adicionados em sua loja, as principais medidas que posso recomendar são:

* Remova os arquivos da pasta /skin: 1.sh, 404.php, error.php, host, index.crypto, index.php, Mage.php, publickey.pub, readme.crypto.
* Remova os usuários administrativos e altere a senha e nome de usuários daqueles que você realmente utiliza.
* Aplique imediatamente todos os Patches.
* Utilize o Mage Report para obter mais informações sobre os itens de segurança de sua loja..
* Verifique os arquivos da loja por código suspeito: grep -r –include=’*.php’ ‘eval(‘ /docroot | grep base64

E o principal, dê toda a atenção preventiva para os itens de segurança em sua loja Magento, a aplicação de patches por exemplo, não traz novas funcionalidades que vão fazer sua loja vender mais, mas vão trazer a segurança e tranquilidade para sua loja vender sempre.

2017-01-24T20:23:33+00:00

RECEBA DICAS VALIOSAS NO SEU EMAIL

x