Ez idáig közel 300 WordPress weboldal érintett abban a múlt hét végén kezdődött támadási hullámban, amely során a támadók zsarolóüzenetet jelenítettek meg a feltört weboldalakon. A támadók egy visszaszámlálót is elhelyeztek az oldalon, ezzel is sürgetve a webhelyek adminisztrátorait a váltságdíjként kért 0,1 bitcoin mielőbbi kifizetésére. Az egyik áldozat által felbérelt Sucuri kiberbiztinsági cég azonban hamar rámutatott, hogy a weboldalak valójában nem kerültek titkosításra.
A támadók csupán annyit tettek, hogy telepítették a Directorist nevű WordPress bővítményt, amivel megjelenítették a zsarolóüzenetet és a visszaszámlálót. Ezután ─ hogy a trükk valóságosabbnak hasson ─ az oldalak bejegyzéseit egyszerűen elrejtették, azáltal hogy a „post_status” értékét „null”-ra állították. A beépülő modul eltávolításával és a weboldalon található bejegyzések visszaállításának parancsával az oldalak néhány pillanat alatt helyrehozhatók. A Sucuri azonban arra hívja fel a figyelmet, hogy az elkövetők mindezt csak úgy tudták kivitelezni, hogy – vagy saját erőből, például brute force technikával, vagy a dark weben megvásárolt – valódi hitelesítő adatokkal adminisztrátorként léptek be a weboldalakra.
Az NBSZ NKI weboldal adminok számára javasolja a rendszergazdai jelszavak rendszeres módosítását, tűzfal plugin, valamint kétfaktoros azonosítás használata mellett.
