WordPress: attenzione alla botnet composta da più di 700 siti

La protezione di un sito web, oltre a mettere in sicurezza tutto il funzionamento del portale ed i dati in esso contenuti ed evitare di perderne il controllo, è importante anche al fine di non far sì che il portale stesso entri a far parte di una lunga lista di siti compromessi che gli hacker sfruttano per sferrare attacchi su più larga scala.

Per spiegare meglio il concetto basta pensare alla recente scoperta di un gruppo di analisti, che ha notato una rete di siti hackerati riuniti in una botnet che a sua volta avrebbe lanciato una lunga serie di attacchi brute force su larga scala. Tutti i siti facenti parte della botnet erano sviluppati con WordPress e prendevano di mira siti costruiti allo stesso modo. La compromissione dei siti è avvenuta a seguito di un’offensiva lanciata qualche mese fa che mirava ad installare malware per rubare criptovalute, che poi è stato modificato per lanciare attacchi brute force.

Lo script turboturbo.js, installato sui siti che fanno parte della botnet, ha la funzione di estrarre le informazioni d’accesso ai backend WordPress e, una volta ottenute, fa in modo che i browser lancino ulteriori attacchi su altri portali WordPress facendo centinaia di tentativi di combinazione user e password ed avere accesso. La funzione dei browser in questa operazione consiste nell’eseguire lo script malevolo una volta che il sito viene caricato e gli hacker non devono effettuare alcuna nuova operazione.

La lista dei siti finiti nella botnet è arrivata solo pochi giorni fa ad oltre 700 vittime e non accenna a fermarsi, vista la grande quantità di visite accumulate col tempo. Il problema alla base di tutto è che è difficile bloccare l’azione della rete di siti poiché i browser e gli utenti che li utilizzano sono legittimi. Gli stessi ricercatori spiegano che attualmente è andato a segno solo lo 0,5% degli attacchi brute force scaturiti da questa offensiva ma come già detto le richieste non accennano a diminuire e sono decine di migliaia. L’ultimo dubbio che permane è come gli hacker proveranno a monetizzare da questa ondata di attacchi, poiché se con i furti di criptovalute il guadagno era abbastanza immediato in questo caso non si sa quale sia il vero obiettivo.

Per adesso, la protezione dei propri siti è aumentabile sicuramente impostando delle password robuste avvalendosi anche di password manager in grado di creare codici ad-hoc, ma un’altra strategia potrebbe essere per il momento quella di approvare solo gli IP considerati sicuri per accedere al backend dell’amministratore.

 

Fonte: 1, 2