Una botnet gigante se come 20.000 sitios WordPress

17 diciembre, 2018
18 Compartido 2,495 Visualizaciones

Los usuarios de WordPress se enfrentan a otro problema de seguridad: el descubrimiento de una botnet gigante. Los ciberdelincuentes han infectado 20.000 sitios WordPress utilizando fuerza bruta para obtener el administrador y contraseña. Están utilizando esas webs para infectar otras instalaciones de WordPress.

La botnet, que la empresa de seguridad de WordPress Wordfence descubrió la semana pasada, infecta las webs usando una funcionalidad conocida como XML-RPC. Esta es un interfaz que permite a una pieza de software realizar peticiones a otra enviando llamadas de procedimientos remotos (RPC) escritas en XML.

Los programas legítimos de software utilizan esta función para enviar contenido a los sitios en WordPress para que le den formato y publicarlo. Los atacantes también lo pueden utilizar para intentar múltiples contraseñas para intentar hacerse con el sitio.

Los atacantes escribieron un script que permitía lanzar un ataque de fuerza bruta basado en XML-PRC, generando automáticamente un rango de usuarios y contraseñas con la esperanza de que alguna de ellas pudiera otorgarles acceso a una cuenta con privilegios. En ese momento pueden usar la cuenta para infectar el sitio con el software de la botnet.

El mecanismo de creación de contraseñas toma una lista de nombres de usuario con otra lista con las contraseñas más habituales y utiliza algoritmos simples para crear nuevas combinaciones de usuario/contraseña. De esta manera puede utilizar un nombre de usuario como “alice” y probarlo con contraseñas similares como alice123, alice2018 etc. Puede que no sea muy efectivo para un único sitio, pero cuando se usa en una multitud, las posibilidades de éxito de los atacantes aumentan, según Wordfence.

Como cualquier botnet, los sitios infectados reciben instrucciones de los ciberdelincuentes vía un servidor de comando y control (C2). En este caso, sin embargo, la infraestructura C2 es relativamente sofisticada. Los atacantes envían las instrucciones desde uno de cuatro servidores C2 que comunican vía proxy, escogidos de una larga lista rusa. Tres de los servidores C2 están alojados en HostSailor, del que el periodista en ciberseguridad Brian Krebs ya informó en el pasado.

Pese a que los servidores C2 presentaban una pantalla de identificación, Wordfence descubrió que no era necesario autentificarse y fueron capaces de ver los detalles sobre las máquinas infectadas, así como la lista de proxy que utilizan para acceder.

¿Cómo se pueden defender los administradores de estos ataques de fuerza bruta? Empresas como Wordfence utilizan técnicas anti fuerza bruta que restringen el número de intentos y bloquean a los atacantes después de muchos fallos.

Un truco sencillo para evitar estos ataques es utilizar una contraseña robusta y un nombre de usuario extraño que sea difícil de acertar. Si lo complementamos con la autenticación de factor múltiple, preferiblemente  utilizando una app de autenticación mejor que autorización SMS, tendremos un nivel extra de seguridad.

Otra medida efectiva es limitar el número de cuentas con privilegios a usuarios con direcciones IP especificas o a clientes con determinados certificados digitales. También es una buena práctica mantener al día la instalación de WordPress.

Por ahora parece que los atacantes están en modo crecimiento, haciendo poco más que aumentar el número de webs infectadas. ¿Qué harán con esos sitios WordPress? Es difícil de adivinar, pero una encuesta anterior de Wordfence sugiere que enviar spam, alojar webs de phishing y lanzar redirecciones maliciosas son los ataques más populares a WordPress.

Si tienes un sitio WordPress, sería importante que comprobaras tus logs en busca de actividad sospechosa, además de comprobar la seguridad de tu contraseña y activar la autenticación de múltiple factor.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Kits de phishing reciclados en las nuevas campañas contra el coronavirus 
Actualidad
8 compartido2,132 visualizaciones
Actualidad
8 compartido2,132 visualizaciones

Kits de phishing reciclados en las nuevas campañas contra el coronavirus 

Alicia Burrueco - 15 abril, 2020

Por Francisco Arnau, responsable de Akamai de España y Portugal Recientemente, los investigadores de Akamai han observado ataques de phishing…

En el Día Mundial de la Seguridad y la Salud en el Trabajo
Actualidad
5 compartido1,130 visualizaciones
Actualidad
5 compartido1,130 visualizaciones

En el Día Mundial de la Seguridad y la Salud en el Trabajo

Aina Pou Rodríguez - 29 abril, 2021

En el contexto de la Covid-19 la compañía impulsa sus soluciones de control de acceso y tiempo para así garantizar…

Ataques a la cadena de suministro de una autoridad certificadora en la operación SignSight
Actualidad
8 compartido1,258 visualizaciones
Actualidad
8 compartido1,258 visualizaciones

Ataques a la cadena de suministro de una autoridad certificadora en la operación SignSight

Aina Pou Rodríguez - 28 diciembre, 2020

El laboratorio de ESET ha descubierto un nuevo ataque mediante el uso del malware PhantomNet o Smanager contra la  cadena…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.