Defiant, una compañía dedicada a la seguridad informática, y más específicamente a WordPress, ha revelado en una investigación que hay una botnet rusa que tiene bajo su control a más de 20.000 páginas web. WordPress es un ‘gestor de contenidos’, el CMS más extendido a nivel global, y por lo tanto uno de los mayores blancos de ataque de los ciberdelincuentes. Esta botnet infecta sites llevando a cabo ataques de fuerza bruta y ataques de diccionario, y lo más curioso es que se sirve de la botnet al completo para infectar nuevas páginas web.
A medida que se van infectando nuevas páginas web, estas se convierten de forma automática en parte de la botnet, actúan en base a las instrucciones de los atacantes, y continúan la ‘epidemia’. El problema está en la baja seguridad del CMS, como es evidente, a pesar de que existen formas de protección para las páginas web en contra de este tipo de ataques; pero es raro encontrarse con una correcta configuración de seguridad. Así que esta botnet lo tiene tan sencillo como probar combinaciones de forma infinita, para el nombre de usuario y contraseña, hasta que se encuentran las credenciales válidas y finalmente se accede al sitio web.
Una botnet que se dedica a ‘secuestrar’ páginas web configuradas con WordPress mediante ataques de fuerza bruta y de diccionario
Los portales infectados, e introducidos dentro de una botnet, son controlados por servidores C&C que mandan las instrucciones para que, de forma automática, estas webs afectadas localicen e infecten otras nuevas páginas web. El script, para los ataques de fuerza bruta, prueba combinaciones típicas. Si encuentra un usuario ‘Alice’, por ejemplo, de forma automática probará contraseñas como alice1, alice2018 y combinaciones parecidas. Una técnica que, evidentemente, es poco probable que tenga éxito en un ataque en particular, pero que al ejecutarse a gran escala sí termina por conseguir decenas de accesos no autorizados.
No se trata, ni mucho menos, del primer ataque a gran escala que se detecta en contra de páginas web WordPress. La cuota de mercado de este gestor de contenidos es la que hace que haya tanta comunidad y un soporte tan completo, pero también la que ha propiciado que los ciberdelincuentes desarrollen sus ataques contra esta plataforma.