Esta semana un importante nรบmero de sitios web que trabajan con WordPress recibieron ataques de fuerza bruta para intentar hackear las claves de cuentas de administradores e instalar un software que mina Monero.
De acuerdo con un reporte de la empresa responsable de la seguridad de esta plataforma, Wordfence, se detectaron mรกs de 190.000 ataques por hora a distintos portales, en el que ha sido calificado como el ataque mรกs importante desde el nacimiento de WordPress en 2012. Los ataques empezaron el lunes.
Segรบn el CEO de Wordfence, Mark Maunder, este ataque llegรณ a un mรกximo de mรกs de 14 millones de ataques en una hora, y estas solicitudes de ataques de fuerza bruta surgieron a partir de mรกs de 10.000 direcciones IP.
Esta es la campaรฑa mรกs agresiva que hemos visto hasta la fecha, alcanzando un mรกximo de mรกs de 14 millones de ataques por hora. La campaรฑa de ataque fue tan grave que tuvimos que ampliar nuestra infraestructura de registro para hacer frente al volumen cuando comenzรณ.
Mark Maunder
Director general y fundador
Cuando iniciaron las investigaciones, el equipo de Wordfence creรญa que el ataque tenรญa que ver con la filtraciรณn de un archivo torrent compartido en Reddit y GitHub que contenรญa mรกs de 1.400 millones de combinaciones de nombres de usuario y contraseรฑa. Sin embargo, tras un anรกlisis pormenorizado, la empresa afirma que estos atacantes usan ยซuna combinaciรณn de listas de contraseรฑas comunes y heurรญsticas basadas en el nombre de dominio y los contenidos del sitio que atacaยป.
Recordemos que un ataque de fuerza bruta implica que el atacante intenta muchas contraseรฑas o frases clave con la esperanza de eventualmente adivinarla. El atacante verifica sistemรกticamente todas las contraseรฑas y frases de acceso posibles hasta encontrar la correcta. La base de datos filtrada pudo servir para reducir el trabajo de los atacantes.
Una vez dentro, los atacantes instalan un software para minar Monero y utilizan el sitio infectado para llevar a cabo mรกs ataques de fuerza bruta. Sin embargo, las operaciones no suceden al mismo tiempo, de manera que el sitio infectado o mina Monero o ataca otros portales alojados en WordPress.
Basados en las dos direcciones de carteras de Monero asociadas a esta operaciรณn ilegal, Wordfence afirmรณ que los atacantes ya habrรญan logrado minar unos 217 XMR, equivalentes a casi 100.000 dรณlares. Este ataque recuerda al malware Loapi, que compromete los celulares de los usuarios afectados en una operaciรณn de minado de esta criptomoneda.
El atacante estรก aprovechando un malware sofisticado para controlar los servidores de WordPress comprometidos de forma remota. Los servidores se utilizan tanto para atacar otros sitios de WordPress como para explotar Monero, una criptomoneda que se puede extraer de manera eficiente utilizando el hardware del servidor web. Descubrimos evidencia que demuestra que el atacante ya ha ganado casi $100.000 de la minerรญa, y probablemente mucho mรกs.
Mark Maunder
Director general y fundador
Recientemente se ha dado una importante oleada de ataques de minerรญa similar, utilizando la aplicaciรณnย Conhive para minar Monero. Asรญ sucediรณ en el caso de la web del polรญtico estadounidense Ron Paul, por lo que los usuarios deben tener extrema precauciรณn al ingresar a determinados sitios web que podrรญan aprovechar el poder de procesamiento de tu computadora para generar ganancias propias.
