Массированная брутфорс-атака «заражает» сотни тысяч сайтов на движке WordPress майнером Monero

Wordpress + Monero miner

На этой неделе WordPress-сайты стали настоящей мишенью обширной брутфорс-кампании. Хакеры предпринимали попытки получить доступ к учетным записям администраторов для установки JavaScript-майнера Monero на скомпрометированные ресурсы. Атаки начались 18 декабря в 6:00 по московскому времени и до сих пор не сбавляют обороты.

Невероятные объемы

По заявлению службы безопасности WordPress — Wordfence, — с такой масштабной кампанией движок сталкивается впервые за все время своего существования.

Это самая агрессивная кампания, которой мы когда-либо подвергались. В определенный момент число атак возросло до 14 миллионов в час. Чтобы выстоять перед таким тяжелым нападением, нам пришлось прибегнуть к расширению инфраструктуры логирования.

Марк Мондер, основатель Wordfence
Количество брутфорс-атак по часам

По статистическим данным фирмы, брутфорс-запросы поступали с 10 000 уникальных IP-адресов и были нацелены на 190 000 WordPress-сайтов в час. Поначалу команда Wordfence предполагала, что атаки были спровоцированы размещенным на Reddit и GitHub торрент-файлом, содержащим около 1,4 млрд комбинаций логинов и паролей. Однако более глубокий анализ ситуации показал, что хакеры используют «комбинации из общих списков паролей и эвристики на основе имени домена и содержимого атакуемого сайта».

Цель атаки

Как только хакеры получают управляющий доступ к сайту, они устанавливают на него майнер Monero. Или же подключают к общей сети для продолжения брутфорс-атак. Поскольку все успешно захваченные сайты присоединяются к выполнению разных функций, число скомпрометированных ресурсов, вероятнее всего, в разы превышает количество IP-адресов, участвующих в кампании.

Большие деньги

Судя по адресным данным двух кошельков Monero, подключенных к незаконной майнинговой операции, хакеры уже успели заработать на ней порядка 100 000 $. Однако реальная сумма может быть намного больше, сообщает Wordfence. По словам экспертов, выбор криптовалюты Monero не удивителен, так как ее курс в этом месяце вырос вдвое, что привлекло серьезное внимание со стороны мошенников.

Конец уходящего года стал для WordPress настоящим испытанием. Напомним, что 21 декабря в одном из популярных плагинов для движка был обнаружен бэкдор, устанавливающий аутентификационные cookie через учетную запись администратора. А месяцем ранее в CMS нашли уязвимость, позволяющую хакерам осуществлять SQL-инъекции в сайт.

Источник: Bleeping Computer

Ещё интересное для вас:
Тест: какой язык программирования вам стоит выбрать для изучения?
Тест: как хорошо вы разбираетесь в Data Science?
Соревнования и бесплатная онлайн-школа для программистов