Una botnet gigante se come 20.000 sitios WordPress

17 diciembre, 2018
18 Compartido 2,394 Visualizaciones

Los usuarios de WordPress se enfrentan a otro problema de seguridad: el descubrimiento de una botnet gigante. Los ciberdelincuentes han infectado 20.000 sitios WordPress utilizando fuerza bruta para obtener el administrador y contraseña. Están utilizando esas webs para infectar otras instalaciones de WordPress.

La botnet, que la empresa de seguridad de WordPress Wordfence descubrió la semana pasada, infecta las webs usando una funcionalidad conocida como XML-RPC. Esta es un interfaz que permite a una pieza de software realizar peticiones a otra enviando llamadas de procedimientos remotos (RPC) escritas en XML.

Los programas legítimos de software utilizan esta función para enviar contenido a los sitios en WordPress para que le den formato y publicarlo. Los atacantes también lo pueden utilizar para intentar múltiples contraseñas para intentar hacerse con el sitio.

Los atacantes escribieron un script que permitía lanzar un ataque de fuerza bruta basado en XML-PRC, generando automáticamente un rango de usuarios y contraseñas con la esperanza de que alguna de ellas pudiera otorgarles acceso a una cuenta con privilegios. En ese momento pueden usar la cuenta para infectar el sitio con el software de la botnet.

El mecanismo de creación de contraseñas toma una lista de nombres de usuario con otra lista con las contraseñas más habituales y utiliza algoritmos simples para crear nuevas combinaciones de usuario/contraseña. De esta manera puede utilizar un nombre de usuario como “alice” y probarlo con contraseñas similares como alice123, alice2018 etc. Puede que no sea muy efectivo para un único sitio, pero cuando se usa en una multitud, las posibilidades de éxito de los atacantes aumentan, según Wordfence.

Como cualquier botnet, los sitios infectados reciben instrucciones de los ciberdelincuentes vía un servidor de comando y control (C2). En este caso, sin embargo, la infraestructura C2 es relativamente sofisticada. Los atacantes envían las instrucciones desde uno de cuatro servidores C2 que comunican vía proxy, escogidos de una larga lista rusa. Tres de los servidores C2 están alojados en HostSailor, del que el periodista en ciberseguridad Brian Krebs ya informó en el pasado.

Pese a que los servidores C2 presentaban una pantalla de identificación, Wordfence descubrió que no era necesario autentificarse y fueron capaces de ver los detalles sobre las máquinas infectadas, así como la lista de proxy que utilizan para acceder.

¿Cómo se pueden defender los administradores de estos ataques de fuerza bruta? Empresas como Wordfence utilizan técnicas anti fuerza bruta que restringen el número de intentos y bloquean a los atacantes después de muchos fallos.

Un truco sencillo para evitar estos ataques es utilizar una contraseña robusta y un nombre de usuario extraño que sea difícil de acertar. Si lo complementamos con la autenticación de factor múltiple, preferiblemente  utilizando una app de autenticación mejor que autorización SMS, tendremos un nivel extra de seguridad.

Otra medida efectiva es limitar el número de cuentas con privilegios a usuarios con direcciones IP especificas o a clientes con determinados certificados digitales. También es una buena práctica mantener al día la instalación de WordPress.

Por ahora parece que los atacantes están en modo crecimiento, haciendo poco más que aumentar el número de webs infectadas. ¿Qué harán con esos sitios WordPress? Es difícil de adivinar, pero una encuesta anterior de Wordfence sugiere que enviar spam, alojar webs de phishing y lanzar redirecciones maliciosas son los ataques más populares a WordPress.

Si tienes un sitio WordPress, sería importante que comprobaras tus logs en busca de actividad sospechosa, además de comprobar la seguridad de tu contraseña y activar la autenticación de múltiple factor.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La Policía Nacional se especializa en la lucha contra el ilícito uso de las criptomonedas y el dinero virtual
Actualidad
23 compartido2,059 visualizaciones
Actualidad
23 compartido2,059 visualizaciones

La Policía Nacional se especializa en la lucha contra el ilícito uso de las criptomonedas y el dinero virtual

Samuel Rodríguez - 20 marzo, 2018

El director general de la Policía, Germán López Iglesias, inauguraba la semana pasada una jornada formativa dirigida a especializar a…

El aumento de videoconferencias por el COVID-19 implica riesgos de ciberseguridad
Actualidad
9 compartido1,139 visualizaciones
Actualidad
9 compartido1,139 visualizaciones

El aumento de videoconferencias por el COVID-19 implica riesgos de ciberseguridad

Alicia Burrueco - 6 abril, 2020

La empresa especializada de S21Sec ha desarrollado una herramienta capaz de identificar salas de videoconferencia expuestas Éstas comprenden reuniones del…

Check Point recibe dos nuevos Certificados “Common Criteria” que avalan su trabajo de seguridad en 31 países
Actualidad
4 compartido1,325 visualizaciones
Actualidad
4 compartido1,325 visualizaciones

Check Point recibe dos nuevos Certificados “Common Criteria” que avalan su trabajo de seguridad en 31 países

Alicia Burrueco - 29 enero, 2020

Check Point consigue certificados para el cumplimiento del Perfil de Protección y EAL4+ Check Point® ha recibido dos Certificados de “Common…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.