Este ciberataque CMS afectó a miles de sitios en todo el mundo

Este ciberataque CMS afectó a miles de sitios en todo el mundo

Los investigadores de seguridad de Imperva rastrearon y analizaron una botnet altamente sofisticada que creen que es responsable de infectar cientos de miles de sitios web al atacar sus plataformas de sistema de gestión de contenido (CMS). La botnet, llamada KashmirBlack, ha estado funcionando desde noviembre del año pasado, y aunque comenzó siendo pequeña, ahora se ha convertido en una operación sofisticada capaz de atacar miles de sitios todos los días. En su serie de blogs de dos partes titulada "CrimeOps of the KashmirBlack Botnet", los investigadores de Imperva explicaron que el objetivo principal de la botnet es infectar sitios web para usar sus servidores para extraer criptomonedas. Redirigir el tráfico web legítimo a páginas de spam y mostrar deserciones web. Los operadores de KashmirBlack están apuntando a vulnerabilidades que se sabe que se apoderan de los sitios que ejecutan una amplia variedad de plataformas de CMS populares, incluidas WordPress, Joomla !, PrestaShop, Magento, Drupal, vBullentin, osCommerce, OpenCart y Yeager.

kaschmir

Ofir Shaty y Sarit Yerushalmi de Imperva proporcionaron información adicional sobre las habilidades de KashmirBlack en una publicación de blog, diciendo: “La botnet KashmirBlack infecta principalmente plataformas CMS populares. Utiliza docenas de vulnerabilidades conocidas en los servidores de sus víctimas, realizando millones de ataques por día en promedio, en miles de víctimas en más de 30 países diferentes alrededor del mundo. Tiene una operación compleja administrada por un servidor C&C (Command and Control) y utiliza más de 60 servidores sustitutos, en su mayoría inocentes, como parte de su infraestructura. Gestiona cientos de bots, cada uno de los cuales se comunica con el C&C para recibir nuevos objetivos, realizar ataques de fuerza bruta, instalar puertas traseras y expandir el tamaño de la botnet. " Para expandir el tamaño de su botnet, KashmirBlack busca en Internet sitios con software desactualizado. Cuando encuentra uno, sus operadores utilizan exploits para las vulnerabilidades que se sabe que infectan tanto al sitio vulnerable como a su servidor subyacente. Desde su inicio en noviembre del año pasado, la botnet ha abusado de 16 vulnerabilidades en Joomla !, Magento, Yeager, WordPress, vBulletin y otro software CMS según Imperva. Sin embargo, los investigadores de la compañía de seguridad creen que un hacker, que usa el descriptor Exect1337 y es miembro del grupo de hackers indonesio PhantomGhost, es la persona detrás de KashmirBlack. Vía ZDNet