WordPress sotto assedio: invaso dai Miner di criptovaluta

Giusto ieri scrivevamo un articolo riguardo al fatto che i cyber-criminali sempre più spesso rinunciano alla diffusione dei ransomware per cercare forme più facili e redditizie. E per l'appunto vari gruppi stanno optando per i miner di criptovaluta.

Ecco, abbiamo una ulteriore conferma di questo trend, che probabilmente ci accompagnerà per tutto il 2018. La settimana scorsa infatti WordPress è stato bersagliato da una serie di attacchi a tappeto: una vera e propria campagna che ha colpito oltre 200.000 siti all'ora. I ricercatori di Wordfence, che hanno individuato la catena di attacchi e stanno cercando di arginarla, parlano della "più imponente operazione degli ultimi 5 anni".

Come funziona l'attacco?

L'attacco sfrutta la più classica tecnica di Brute-Forcing: cerca cioè di accedere al backend di controllo dei siti provando senza sosta molteplici combinazioni di numeri, caratteri e lettere sperando di indovinare password e username. Sappiamo che stanno usando dizionari basati su liste e un sistema euristico che propone possibili combinazioni analizzando il nome stesso del dominio.

I siti sotto attacco sono, come dicevamo, un numero impressionante: si parla di oltre 10.000 fonti che stanno prendendo di mira circa 190.000 siti all'ora, ma si sono registrati picchi di 14 milioni di attacchi l'ora (mettiamo qui sotto un grafico, per chi non ci credesse!)

Fonte: Wordfence

Una volta ottenuto l'accesso al sito, i pirati inseriscono CoinHive (ulteriori dettagli qui), il javascript in grado di usare i PC dei visitatori di un sito web per generare cirptovaluta (in questo caso Monero) senza che le vittime possano accorgersene. 

Piccole accortezze

Wordefence consiglia a tutti coloro che hanno un sito WordPress di usare un firewall, di  modificare i nomi utente troppo semplici (ad esempio "admin") e di abilitare l'autenticazione a due fattori almeno per gli utenti amministratori.