Gli hacker controllano una “botnet” di oltre 20.000 infetti WordPress stanno attaccando altri siti WordPress, secondo un rapporto di Il team di Defiant Threat Intelligence. Le botnet hanno tentato di generare fino a cinque milioni di accessi dannosi a WordPress negli ultimi trenta giorni.
Secondo il rapporto, gli hacker dietro questo attacco utilizzano quattro server di comando e controllo per inviare richieste a oltre 14.000 server proxy da un provider russo. Questi proxy vengono quindi utilizzati per anonimizzare il traffico e inviare istruzioni e uno script ai siti “slave” di WordPress infetti riguardo a quale degli altri siti WordPress prendere di mira. I server dietro l'attacco sono ancora online e prendono di mira principalmente l'interfaccia XML-RPC di WordPress per provare una combinazione di nomi utente e password per gli accessi amministrativi.
Video consigliati
“Gli elenchi di parole associati a questa campagna contengono piccoli insiemi di password molto comuni. Tuttavia, lo script include funzionalità per generare dinamicamente password appropriate basate su modelli comuni... Anche se questa tattica è improbabile avere successo su un dato sito, può essere molto efficace se utilizzato su larga scala su un gran numero di obiettivi", spiega The Defiant Threat Intelligence squadra.
Imparentato
- Microsoft offre fino a $ 20.000 per identificare le vulnerabilità della sicurezza in Xbox Live
Gli attacchi all’interfaccia XML-RPC non sono nuovi e risalgono al 2015. Se temi che il tuo account WordPress possa essere colpito da questo attacco, il team di Defiant Threat Intelligence segnala che è meglio abilitare restrizioni e blocchi per gli accessi non riusciti. Puoi anche prendere in considerazione l'utilizzo di plugin WordPress che proteggono dagli attacchi di forza bruta, come il Plug-in per Wordfence.
Il team di Defiant Threat Intelligence ha condiviso le informazioni sugli attacchi con le forze dell'ordine. Purtroppo, Rapporti ZDNet che i quattro server di comando e controllo non possono essere messi offline perché sono ospitati su un provider che non rispetta le richieste di rimozione. Tuttavia, i ricercatori contatteranno i provider di hosting identificati con i siti schiavi infetti per cercare di limitare la portata dell’attacco.
Alcuni dati sono stati omessi dal rapporto originale su questo attacco perché potrebbero essere sfruttati da altri. L'uso dei proxy rende inoltre difficile individuare il luogo degli attacchi effettuati dall'aggressore errori che hanno permesso ai ricercatori di accedere all'interfaccia dei server di comando e controllo dietro il attacco. Tutte queste informazioni sono considerate “una grande quantità di dati preziosi” per gli investigatori.
Raccomandazioni degli editori
- WordPress afferma che Apple vuole il 30% dei profitti dell'App Store anche se è gratuito
- Cos'è WordPress?
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
