KashmirBlack es el botnet que está detrás de los ataques a CMS como WordPress, Joomla, Drupal entre otros

0
599

Se cree que una botnet altamente sofisticada ha infectado cientos de miles de sitios web al atacar sus plataformas de sistema de gestión de contenido (CMS) subyacentes.

Nombrada  KashmirBlack , la botnet comenzó a operar en noviembre de 2019.

Los investigadores de seguridad de Imperva -que analizan la botnet semana pasada en una  de dos – parte  de las series dijo que el propósito principal de la red de bots parece ser para infectar sitios web y luego usar sus servidores para la minería criptomoneda, redirigiendo el tráfico legítimo de un sitio a páginas de spam, ya una en menor grado, mostrando desfiguraciones web.

Imperva dijo que la botnet comenzó siendo pequeña, pero después de meses de crecimiento constante, se ha convertido en un gigante sofisticado capaz de atacar miles de sitios por día.

Los mayores cambios ocurrieron en mayo de este año cuando la botnet aumentó tanto su infraestructura de comando y control (C&C) como su arsenal de exploits.

Hoy en día, KashmirBlack es “administrado por un servidor C&C (Command and Control) y utiliza más de 60 servidores, en su mayoría sustitutos inocentes, como parte de su infraestructura”, dijo Imperva.

“[La botnet] maneja cientos de bots, cada uno de los cuales se comunica con el C&C para recibir nuevos objetivos, realizar ataques de fuerza bruta, instalar puertas traseras y expandir el tamaño de la botnet”.

KashmirBlack se expande escaneando Internet en busca de sitios que usen software desactualizado y luego usando exploits en busca de vulnerabilidades conocidas para infectar el sitio y su servidor subyacente.

Algunos de los servidores pirateados se utilizan para spam o minería de cifrado, pero también para atacar otros sitios y mantener viva la botnet.

Desde noviembre de 2019, Imperva dice que ha visto a la botnet abusar de 16 vulnerabilidades:

Los exploits enumerados anteriormente permitieron a los operadores de KashmirBlack atacar sitios que ejecutan plataformas CMS como WordPress, Joomla !, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart y Yeager.

Algunos exploits atacaron el propio CMS, mientras que otros atacaron algunos de sus componentes internos y bibliotecas.

“Durante nuestra investigación, fuimos testigos de su evolución de una botnet de volumen medio con capacidades básicas a una infraestructura masiva que llegó para quedarse”, dijeron los investigadores de Imperva el viernes.

Sobre la base de múltiples pistas que encontraron, los investigadores de Imperva dijeron que creían que la botnet era obra de un hacker llamado  Exect1337 , un miembro de la tripulación de hackers de Indonesia  PhantomGhost .