Campaña de exploits masiva compromete más de 30 mil sitios web

El aumento de sitios web infectados que propagan Angler y Cryptowall se ha traducido en más de 30 mil dominios comprometidos desde principios de año, la tendencia indica que es probable que esto continúe.

El equipo de Heimdal Security identificó la campaña en la que los atacantes están utilizando sitios web pequeños para ampliar su alcance malicioso.

“Mientras tengas una dirección de correo electrónico o compartas cualquier tipo de información en la web, te convertirás en un objetivo”, menciona en un blog Andra Zaharia, especialista en seguridad en Heimdal. “Si posees un sitio web, aún más. No es que los ciberdelincuentes se preocupen por el contenido de la página web, de ningún modo, lo que quieren es obtener el control sobre este para que puedan utilizarlo como una plataforma de distribución de malware (software malicioso)”.

La economía del malware también está obteniendo impulso por la utilización de kits de exploits bajo demanda y de la automatización.

“La rama de los kits de exploits como servicio (EK-as-a-service) [de las empresas de malware]… ponen a los kits, como Angler o Nuclear, disponibles ampliamente para cualquier persona que tenga los recursos para comprarlos y utilizarlos”, dijo Zaharia.

Los atacantes tienen una forma establecida de comprometer sitios web que pueden utilizar más tarde como plataformas para los ataques dirigidos. O bien, encuentran la cuenta de administrador de la página web o la consola y obtenienen las credenciales; pueden comprometer el servidor que es utilizado para alojar el sitio web o podrían utilizar scripts vulnerables para inyectar código infectado.

Mediante el uso de credenciales robadas o crackeadas, los ciberdelincuentes pueden iniciar sesión en el registro de dominios principal de la víctima, en el que pueden establecer nuevos subdominios. Esta técnica es llamada “domain shadowing”. Al registrar varios subdominios y direcciones IP, los atacantes pueden evitar las listas negras y mejorar significativamente sus canales de distribución para el kit de exploits Angler.

“Los propietarios de sitios web no dificultan las cosas, ya que utilizan la configuración y las credenciales predeterminadas, como “admin”, tanto para nombre de usuario como contraseña”, dijo Zaharia. “Se requiere menos de un minuto para romper algo así.”

Por lo tanto, “los ciberatacantes se están aprovechando de dos factores fundamentales en este momento: el hecho de que el acceso a la tecnología se ha vuelto omnipresente y el hecho de que la educación cibernética tiene dificultades para mantenerse al día con el rápido ritmo de adopción de tecnología”, añadió.

Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2742

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies