El apocalipsis zombie ya está aquí. Si no conseguimos detenerlo acabará convirtiéndonos a muchos de nosotros en zombies sin otro objetivo que contagiar a los sanos y consumir todos nuestros recursos en el proceso.
¿Ah, que no sabes de qué estoy hablando? Pues me refiero al último y masivo ataque por fuerza bruta contra webs WordPress que se detectó el pasado lunes 18 de diciembre. Jamás se había registrado un ataque más intenso. Según el artículo publicado en WordFence, se llegó a alcanzar un pico de 14 millones de ataques por hora.
La infección
Desde el lunes hasta el momento de publicar este artículo ha sido posible averiguar el origen del ataque, el procedimiento utilizado y el objetivo.
Parece ser que la publicación en la dark web de una base de datos en formato texto con 1.400 millones de credenciales de acceso a sitios web está en el origen de este ataque. Con estos datos se ha orquestado el ataque masivo a millones de servidores de sitios WordPress en todo el mundo.
WordFence informa de que pudieron aislar algunas IP’s atacantes y realizar un seguimiento de las acciones realizadas en los servidores afectados. El proceso malicioso (malware) se ejecuta como un proceso normal de usuario, lo que le facilita pasar desapercibido ante los sistemas de seguridad. Una vez infectado un servidor, el malware trata de infectar a tantos otros servidores como pueda mediante el método de fuerza bruta (intentar el acceso usando los miles de usuarios y contraseñas conocidos).
El zombie
Pero no acaba aquí la actividad del malware. También convierte en zombies a los servidores infectados, transformándolos en esclavos y obligándoles a minar una criptomoneda (en este caso Monero, similar a Bitcoin) en favor de los atacantes.
El día anterior al ataque masivo, Monero multiplicó repentinamente su valor desde los 200$ hasta los 378$, lo que supuso un enorme incentivo para la minería de esta criptomoneda. El incremento de valor en los dos monederos digitales localizados supone casi 100.000$, que con toda probabilidad es solo una pequeña parte de sus ganancias.
Así que el objetivo en este caso no era encriptar y bloquear tu sistema para exigirte un rescate a cambio de liberarlo, sino convertirlo en un sistema zombie al servicio del atacante, consumiendo tus recursos e infectando a cuantos otros se pusieran a tiro. ¡El apocalipsis!
La vacuna
¿Se puede hacer algo para evitar el ataque o para limpiar tu sistema si ya has sido infectado? Afortunadamente, sí.
Para estar a salvo solo tienes que mantener tu WordPress en perfecto estado. Siguiendo las recomendaciones que hago en ese artículo evitarás este tipo de ataques, al tiempo que mejoras su rendimiento y previenes cualquier otra incidencia. Fíjate cómo lo tengo yo:
Pero si tienes prisa y quieres saber las acciones imprescindibles para detectar, detener y prevenir el ataque, éstas son:
- No te duermas. Este es un asunto de la máxima prioridad si has sido infectado. La reputación de tu sitio se verá seriamente comprometida si no resuelves el problema de inmediato
- Verifica los recursos utilizados. Minar para Monero consumirá cuantos recursos sea posible de tu servidor, por lo que si puedes comprobar que los niveles de uso de CPU son anormales, quizá esté infectado
- Puedes instalar WordFence en caso de que no lo tengas y ejecutar un chequeo de tu sistema. Te ayudará a limpiarlo si fuera necesario
- Si tu sistema está atacando a otros será incluido en las blacklists de inmediato. Una vez limpiado, deberás sacarlo de ellas para volver a la normalidad
- Instala un firewall que detecte y bloquee ataques por fuerza bruta
- Asegúrate de que las contraseñas de los administradores y resto de usuarios son fuertes
- Jamás uses el usuario ‘admin’ como administrador de tu WordPress
- Elimina las cuentas de usuario que no estén en uso, en especial las de administrador
Y recuerda: el mantenimiento de tu WordPress es vital para la salud de tu negocio.
Deja una respuesta