Criminosos lançaram mais de 130 milhões de ataques com o objetivo de recolher credenciais de bases de dados de 1,3 milhões de websites com o CMS WordPress instalado.
Nesta campanha massiva, os cibercriminosos usaram várias vulnerabilidades conhecidas em plugins e temas do WordPress.
Os investigadores do Wordfence, um plugin que fornece uma camada de proteção a websites WordPress, observaram o ataque, e o pico ocorreu em 30 de maio de 2020.
Os investigadores conseguiram ligar esta campanha ao mesmo agente de ameaças que anteriormente tinha como alvo as vulnerabilidades XSS em uma escala semelhante.
A campanha anterior foi realizada a partir de 20.000 endereços IP diferentes e a esta recente campanha também utilizou a mesma gama de endereços de IP.
Top 10 de endereços utilizadores
200.25.60.53 51.255.79.47 194.60.254.42 31.131.251.113 194.58.123.231 107.170.19.251 188.165.195.184 151.80.22.75 192.254.68.134 93.190.140.8
Todos os ataques observados têm como alvo vulnerabilidades mais antigas em plugins ou temas desatualizados.
With this campaign the threat actor attempting to download wp-config.php file, which is the core that contains the website’s base configuration details, such as database-connection information.
Ao descarregarem ficheiros, os criminosos podem aceder ao ficheiro wp-config.php do WordPress que contém a string de ligação à base de dados.
Nesta base de dados constam todos os dados e configuração do WordPress. Os criminosos podem controlar a instalação e o servidor do website, e utilizá-lo em ataques in-the-wild, como p.ex., disseminação de campanhas de engenharia social ou para hospedar malware.
If you’re not comfortable making the changes above, please contact your host, since changing your database password without updating the
wp-config.php
file can temporarily take down your site.
Referência: https://www.wordfence.com/blog/2020/06/large-scale-attack-campaign-targets-database-credentials/