KashmirBlack botnet detrás de ataques a CMS como WordPress, Joomla, Drupal, otros



Se cree que una botnet altamente sofisticada ha infectado cientos de miles de sitios web al atacar sus plataformas de sistema de gestión de contenido (CMS) subyacentes. Nombrada KashmirBlack, la botnet comenzó a operar en noviembre de 2019. Los investigadores de seguridad de Imperva, que analizaron la botnet la semana pasada en una serie de dos partes, dijeron que el propósito principal de la botnet parece ser infectar sitios web y luego usar sus servidores para la minería de criptomonedas, redirigiendo el tráfico legítimo de un sitio a páginas de spam y a un en menor grado, mostrando deformaciones web.
Imperva dijo que la botnet comenzó siendo pequeña, pero después de meses de crecimiento constante, se ha convertido en un gigante sofisticado capaz de atacar miles de sitios por día. Los mayores cambios ocurrieron en mayo de este año cuando la botnet aumentó tanto su infraestructura de comando y control (C&C) como su arsenal de exploits. Hoy en día, KashmirBlack es "administrado por un servidor C&C (Comando y Control) y utiliza más de 60 servidores, en su mayoría sustitutos inocentes, como parte de su infraestructura", dijo Imperva.
"[La botnet] maneja cientos de bots, cada uno de los cuales se comunica con el C&C para recibir nuevos objetivos, realizar ataques de fuerza bruta, instalar puertas traseras y expandir el tamaño de la botnet". Imagen: Imperva KashmirBlack se expande escaneando Internet en busca de sitios que usen software desactualizado y luego usando exploits en busca de vulnerabilidades conocidas para infectar el sitio y su servidor subyacente. Algunos de los servidores pirateados se utilizan para spam o minería de cifrado, pero también para atacar otros sitios y mantener viva la botnet.
Desde noviembre de 2019, Imperva dice que ha visto a la botnet abusar de 16 vulnerabilidades: Los exploits enumerados anteriormente permitieron a los operadores de KashmirBlack atacar sitios que ejecutan plataformas CMS como WordPress, Joomla !, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart y Yeager. Algunos exploits atacaron el propio CMS, mientras que otros atacaron algunos de sus componentes internos y bibliotecas. "Durante nuestra investigación, fuimos testigos de su evolución de una botnet de volumen medio con capacidades básicas a una infraestructura masiva que llegó para quedarse", dijeron los investigadores de Imperva el viernes.
Basándose en múltiples pistas que encontraron, los investigadores de Imperva dijeron que creían que la botnet era obra de un hacker llamado Exect1337, miembro de la tripulación de hackers indonesios PhantomGhost.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı