Una botnet gigante se come 20.000 sitios WordPress

17 diciembre, 2018
18 Compartido 2,176 Visualizaciones

Los usuarios de WordPress se enfrentan a otro problema de seguridad: el descubrimiento de una botnet gigante. Los ciberdelincuentes han infectado 20.000 sitios WordPress utilizando fuerza bruta para obtener el administrador y contraseña. Están utilizando esas webs para infectar otras instalaciones de WordPress.

La botnet, que la empresa de seguridad de WordPress Wordfence descubrió la semana pasada, infecta las webs usando una funcionalidad conocida como XML-RPC. Esta es un interfaz que permite a una pieza de software realizar peticiones a otra enviando llamadas de procedimientos remotos (RPC) escritas en XML.

Los programas legítimos de software utilizan esta función para enviar contenido a los sitios en WordPress para que le den formato y publicarlo. Los atacantes también lo pueden utilizar para intentar múltiples contraseñas para intentar hacerse con el sitio.

Los atacantes escribieron un script que permitía lanzar un ataque de fuerza bruta basado en XML-PRC, generando automáticamente un rango de usuarios y contraseñas con la esperanza de que alguna de ellas pudiera otorgarles acceso a una cuenta con privilegios. En ese momento pueden usar la cuenta para infectar el sitio con el software de la botnet.

El mecanismo de creación de contraseñas toma una lista de nombres de usuario con otra lista con las contraseñas más habituales y utiliza algoritmos simples para crear nuevas combinaciones de usuario/contraseña. De esta manera puede utilizar un nombre de usuario como “alice” y probarlo con contraseñas similares como alice123, alice2018 etc. Puede que no sea muy efectivo para un único sitio, pero cuando se usa en una multitud, las posibilidades de éxito de los atacantes aumentan, según Wordfence.

Como cualquier botnet, los sitios infectados reciben instrucciones de los ciberdelincuentes vía un servidor de comando y control (C2). En este caso, sin embargo, la infraestructura C2 es relativamente sofisticada. Los atacantes envían las instrucciones desde uno de cuatro servidores C2 que comunican vía proxy, escogidos de una larga lista rusa. Tres de los servidores C2 están alojados en HostSailor, del que el periodista en ciberseguridad Brian Krebs ya informó en el pasado.

Pese a que los servidores C2 presentaban una pantalla de identificación, Wordfence descubrió que no era necesario autentificarse y fueron capaces de ver los detalles sobre las máquinas infectadas, así como la lista de proxy que utilizan para acceder.

¿Cómo se pueden defender los administradores de estos ataques de fuerza bruta? Empresas como Wordfence utilizan técnicas anti fuerza bruta que restringen el número de intentos y bloquean a los atacantes después de muchos fallos.

Un truco sencillo para evitar estos ataques es utilizar una contraseña robusta y un nombre de usuario extraño que sea difícil de acertar. Si lo complementamos con la autenticación de factor múltiple, preferiblemente  utilizando una app de autenticación mejor que autorización SMS, tendremos un nivel extra de seguridad.

Otra medida efectiva es limitar el número de cuentas con privilegios a usuarios con direcciones IP especificas o a clientes con determinados certificados digitales. También es una buena práctica mantener al día la instalación de WordPress.

Por ahora parece que los atacantes están en modo crecimiento, haciendo poco más que aumentar el número de webs infectadas. ¿Qué harán con esos sitios WordPress? Es difícil de adivinar, pero una encuesta anterior de Wordfence sugiere que enviar spam, alojar webs de phishing y lanzar redirecciones maliciosas son los ataques más populares a WordPress.

Si tienes un sitio WordPress, sería importante que comprobaras tus logs en busca de actividad sospechosa, además de comprobar la seguridad de tu contraseña y activar la autenticación de múltiple factor.

Te podría interesar

Casi un tercio de las fugas de datos en las empresas españolas acaba en despidos
Actualidad
502 visualizaciones
Actualidad
502 visualizaciones

Casi un tercio de las fugas de datos en las empresas españolas acaba en despidos

Samuel Rodríguez - 27 septiembre, 2018

Cuando una empresa sufre una fuga de información, este hecho puede afectar más allá de sus finanzas, su reputación y…

SamSam: el ransomware que ha recaudado casi 6 millones de dólares en dos años
Actualidad
29 compartido1,465 visualizaciones
Actualidad
29 compartido1,465 visualizaciones

SamSam: el ransomware que ha recaudado casi 6 millones de dólares en dos años

José Luis - 2 agosto, 2018

Los ciberataques están evolucionando hasta llegar a alcanzar un alto nivel de sofisticación y eficacia. Los ciberdelincuentes están apostando por…

EXODUS, el primer teléfono de HTC con tecnología blockchain
Mobile
11 compartido2,156 visualizaciones
Mobile
11 compartido2,156 visualizaciones

EXODUS, el primer teléfono de HTC con tecnología blockchain

Mónica Gallego - 13 julio, 2018

HTC, el líder innovador en dispositivos smartphone, está encabezando un movimiento que comienza en el tercer trimestre con el lanzamiento…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.