Peretas mengendalikan “botnet” yang berisi lebih dari 20.000 orang yang terinfeksi WordPress situs menyerang situs WordPress lainnya, menurut laporan dari Tim Intelijen Ancaman Penentang. Botnet berusaha menghasilkan hingga lima juta login WordPress berbahaya dalam tiga puluh hari terakhir.
Berdasarkan laporan, peretas di balik serangan ini menggunakan empat server perintah dan kontrol untuk mengirim permintaan ke lebih dari 14.000 server proxy dari penyedia Rusia. Proksi tersebut kemudian digunakan untuk menganonimkan lalu lintas dan mengirimkan instruksi dan skrip ke situs “budak” WordPress yang terinfeksi mengenai situs WordPress mana yang pada akhirnya akan ditargetkan. Server di balik serangan ini masih online, dan terutama menargetkan antarmuka XML-RPC WordPress untuk mencoba kombinasi nama pengguna dan kata sandi untuk login admin.
Video yang Direkomendasikan
“Daftar kata yang terkait dengan kampanye ini berisi kumpulan kata sandi yang sangat umum. Namun, skrip tersebut menyertakan fungsionalitas untuk secara dinamis menghasilkan kata sandi yang sesuai berdasarkan pola umum… Meskipun taktik ini kecil kemungkinannya berhasil di satu lokasi tertentu, hal ini bisa sangat efektif bila digunakan dalam skala besar di sejumlah besar target,” jelas The Defiant Threat Intelligence tim.
Terkait
- Microsoft menawarkan hingga $20.000 untuk mengidentifikasi kerentanan keamanan di Xbox Live
Serangan pada antarmuka XML-RPC bukanlah hal baru dan tanggal kembali ke tahun 2015. Jika Anda khawatir akun WordPress Anda mungkin terkena dampak serangan ini, tim The Defiant Threat Intelligence melaporkan bahwa yang terbaik adalah mengaktifkan pembatasan dan penguncian untuk login yang gagal. Anda juga dapat mempertimbangkan untuk menggunakan plugin WordPress yang melindungi dari serangan brute force, seperti Plugin Wordfence.
Tim Defiant Threat Intelligence telah berbagi informasi mengenai serangan tersebut dengan otoritas penegak hukum. Sayangnya, Laporan ZDNet bahwa keempat server perintah dan kontrol tidak dapat dijadikan offline karena dihosting di penyedia yang tidak memenuhi permintaan penghapusan. Namun, para peneliti akan menghubungi penyedia hosting yang diidentifikasi sebagai situs budak yang terinfeksi untuk mencoba dan membatasi cakupan serangan.
Beberapa data telah dihilangkan dari laporan asli mengenai serangan ini karena dapat dieksploitasi oleh orang lain. Penggunaan proxy juga membuat sulit untuk menemukan lokasi serangan, namun penyerang melakukannya kesalahan yang memungkinkan peneliti mengakses antarmuka server perintah dan kontrol di belakang menyerang. Semua informasi ini dianggap sebagai “data yang sangat berharga” bagi para penyelidik.
Rekomendasi Editor
- WordPress mengklaim Apple menginginkan 30% keuntungan App Store meskipun gratis
- Apa itu WordPress?
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
