Una gran red de bots WordPress está atacando a otros blogs impulsados por la plataforma. Resulta especialmente preocupante, ya que ya se ha ganado un gran número de víctimas reclutadas. Lo que sabemos hasta ahora es que la red es un túnel a través de un proveedor de servicio de proxy de Rusia, posiblemente, lo que indica que los piratas informáticos podrían ser de origen ruso.
La Botnet WordPress puede ser después de su Blog
Una nueva botnet WordPress está atacando a los blogs impulsados por la plataforma popular en un intento de acabar con el mayor número posible. Lo que sabemos hasta ahora es que ha sido capaz de ganar un gran número de máquinas reclutados. A medida que su tamaño está creciendo con todos los blogs infectado anticipamos que podría convertirse en un arma muy poderosa para otros delitos, así. El informe revela que la seguridad se utiliza un algoritmo infección avanzada, siendo posiblemente el producto de una cuidadosa planificación.
Un análisis de la forma en que los sitios de las víctimas son atacadas muestra que el método de uso es el ataque de fuerza bruta. Los ataques de piratas informáticos se hacen en contra de la interfaz XML-RPC que se utiliza para autenticar con los blogs. Con el fin de hacer las peticiones más creíble a las del sistema de diversos agentes de usuario se utilizan durante los intentos de acceso: dispositivos iPhone y Android. Hasta ahora, las estadísticas muestran que por encima 20,000 esclavos sitios de WordPress son actualmente parte de la red de bots. Los conjuntos de contraseñas que se utilizan para ganar la entrada a los sistemas infectados son credenciales no sólo comunes y débiles, sino también el uso de patrones comunes. Usando un enfoque llamada múltiple la botnet WordPress es capaz de ganar la entrada en muchos sistemas a un ritmo mucho más rápido que los intentos de intrusión tradicionales.
Una característica definitoria de esta amenaza es su cadena de ataque complejo. Los intentos de intrusión se realizan a través de los hosts esclavos botnet reclutados y no a los servidores de fondo que son operados por los actores maliciosos. Las instrucciones para la ofensiva se envía a través de una la red de servidores proxy lo que hace muy difícil rastrear la fuente original de los ataques. Los servidores proxy se ejecutan desde un proveedor de Rusia, que posiblemente indica que los operadores maliciosos pueden ser de Rusia.
Cuatro servidores de comando y control separados se identificaron mostrando que los huéspedes infectados también pueden funcionar de diferentes colectivos. Una de las hipótesis detrás de sus operaciones y el modo de operación es que se puede alquilar a otros hackers a través de los mercados subterráneos.
A medida que la red de bots WordPress es todavía activo es importante para los administradores a tomar las precauciones necesarias para proteger sus sitios. Los tres consejos de seguridad más importantes en esta situación son los siguientes:
- Aplicar restricciones y cierres temporales de las FO de intentos de conexión fallidos.
- Supervisar los registros de acceso y mirar hacia fuera para cualquier comportamiento sospechoso o el tráfico.
- Asegúrese de que una fuerte combinación de nombre de usuario y contraseña junto con CAPTCHA de se aplican para todas las cuentas de WordPress.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: