KashmirBlack botnet aprovecha los sitios de WordPress para el cifrado de minería

Investigadores en Imperva documentó las operaciones de una botnet llamada CachemiraNegro, que se creía que estaba detrás del ataques contra WordPress, Drupal y otros CMS. El grupo creció hasta infectar miles de sitios web al día y utilizar sus servidores subyacentes para extraer criptomonedas y redireccionamientos de spam.

Sitios de piratería para la minería de criptomonedas

CachemiraBlack Botnet
CachemiraBlack Botnet

La minería de criptomonedas necesita muchos recursos para funcionar. Aunque se puede hacer en computadoras y teléfonos básicos, no traen nada más que cacahuetes. Por lo tanto, el uso de servidores y GPU de última generación es efectivo. Aunque cuestan mucho, piratearlos para ejecutar software de minería y acuñar monedas es fácil. Esto lo practica una botnet llamada CachemiraNegro.

Según los informes (1, dos) desde Imperva, una empresa de ciberseguridad, un grupo de botnets llamado KashmirBlack está detrás del ataque contra CMS como WordPress, Joomla !, Drupal, PrestaShop, Magneto, osCommerce, vBulletin, Yeager y OpenCart. Los investigadores afirman que el operador KashmirBlack Exect1337, miembro del equipo de piratería de Indonesia PhantomGhost, está buscando sitios de destino en Internet.

El grupo (o una persona) busca inicialmente sitios que ejecutan software antiguo y los explota con vulnerabilidades conocidas. Después de secuestrarlos, instalan los servidores subyacentes para usarlos en la minería de criptomonedas, redirigiendo el tráfico a sitios de spam y mostrando distorsiones web.

Los investigadores dicen que el grupo de botnets comenzó a operar en noviembre del año pasado y ha crecido mucho desde entonces.

Se volvió sofisticado en mayo de este año, donde actualizó su servidor C2 y puede infectar miles de sitios web al día. Hasta la fecha, se ha creído que infecta cientos de miles de sitios web atacando su CMS subyacente o algunos componentes de esos CMS.

Ahora está gestionado «por un servidor C&C (Command and Control) y utiliza más de 60 servidores, en su mayoría sustitutos inocentes, como parte de su infraestructura,”, Dijeron los investigadores de Imperva.

Adicional, «[The botnet] maneja cientos de bots, cada uno de los cuales se comunica con C&C para recibir nuevos objetivos, realizar ataques de fuerza bruta, instalar puertas traseras y expandir el tamaño de la botnet.«

Desde el principio, dicen que la botnet está abusando de sitios de todo el mundo que tienen estas vulnerabilidades;

  1. WordPress install.php RCE
  2. Ataque de fuerza bruta de inicio de sesión de WordPress xmlrpc.php
  3. Varios complementos de WordPress RCE
  4. WordPress varios temas de RCE
  5. Vulnerabilidad RFI de WordPress TimThumb – CVE-2011-4106
  6. Vulnerabilidad de carga de archivos de Webdav
  7. Joomla! vulnerabilidad de carga remota de archivos
  8. Inclusión de archivo local de Magento – CVE-2015-2067
  9. Vulnerabilidad de Yeager CMS: CVE-2015-7571
  10. Ejecución remota de código PHPUnit – CVE-2017-9841
  11. Vulnerabilidad de carga de archivos de JQuery: CVE-2018-9206
  12. Inyección de comandos ELFinder – CVE-2019-9194
  13. Widget de VBulletin RCE – CVE-2019-16759
  14. Cargar vulnerabilidad de RCE