KashmirBlack botnet por trás de ataques a CMSs como WordPress, Joomla, Drupal, outros

Views: 1043
0 0
Read Time:2 Minute, 39 Second

Acredita-se que a nova botnet KashmirBlack tenha infectado centenas de milhares de sites desde novembro de 2019.

world map botnet ddos cyber

Acredita-se que uma botnet altamente sofisticada infectou centenas de milhares de sites atacando suas plataformas cms (sistema de gerenciamento de conteúdo) subjacente.

Chamada KashmirBlack, a botnet começou a operar em novembro de 2019.

Pesquisadores de segurança da Imperva — que analisaram a botnet na semana passada em uma série de duas– partes — disseram que o principal objetivo da botnet parece ser infectar sites e, em seguida, usar seus servidores para mineração de criptomoedas, redirecionando o tráfego legítimo de um site para páginas de spam e, em menor grau, mostrando desfigurações na Web.

Imperva disse que a botnet começou pequena, mas depois de meses de crescimento constante, evoluiu para um behemoth sofisticado capaz de atacar milhares de sites por dia.

As maiores mudanças ocorreram em maio deste ano, quando a botnet aumentou tanto sua infraestrutura de comando e controle (C&C), mas também seu arsenal de exploração.

Atualmente, o KashmirBlack é “gerenciado por um servidor de C&C (Comando e Controle) e usa mais de 60 – a maioria inocentes – servidores como parte de sua infraestrutura”, disse Imperva.

“[A botnet] lida com centenas de bots, cada um se comunicando com o C&C para receber novos alvos, realizar ataques de força bruta, instalar backdoors e expandir o tamanho da botnet.”

KashmirBlack
Imagem: Imperva

O KashmirBlack expande-se escaneando a internet em busca de sites usando software desatualizado e, em seguida, usando explorações para vulnerabilidades conhecidas para infectar o site e seu servidor subjacente.

Alguns dos servidores hackeados são usados para spam ou mineração de criptomoedas, mas também para atacar outros sites e manter a botnet viva.

Desde novembro de 2019, a Imperva diz ter visto a botnet abusar de 16 vulnerabilidades:

As explorações listadas acima permitiram que os operadores da KashmirBlack atacassem sites que executam plataformas CMS como WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart e Yeager.

Algumas explorações atacaram o próprio CMS, enquanto outras atacaram alguns de seus componentes internos e bibliotecas.

“Durante nossa pesquisa, testemunhamos sua evolução de uma botnet de médio volume com habilidades básicas para uma infraestrutura maciça que está aqui para ficar”, disseram pesquisadores da Imperva na sexta-feira.

Com base em múltiplas pistas encontradas, os pesquisadores da Imperva disseram acreditar que a botnet era obra de um hacker chamado Exect1337, um membro da equipe de hackers indonésia PhantomGhost.

FONTE: ZDNET

POSTS RELACIONADOS