Los ciberdelincuentes lanzaron más de 130 millones de ataques con el objetivo de obtener credenciales de bases de datos de 1.3 millones de sitios de WordPress.
En esta campaña de ataque masivo, los ciberdelincuentes utilizaron varias vulnerabilidades de plugins y temas en todo el ecosistema de WordPress.
Investigadores de seguridad de Wordfence observaron el ataque, el pico del ataque ocurrió el 30 de mayo de 2020.
Campaña vinculada a un ataque anterior
Los investigadores pudieron vincular la campaña con el mismo actor de amenazas que anteriormente atacaba las vulnerabilidades XSS a una escala similar.
La campaña anterior se realizó desde 20,000 direcciones IP diferentes y la nueva campaña también usó la misma dirección IP.
Todo el ataque apunta a vulnerabilidades antiguas en plugins o temas obsoletos que permiten a los atacantes descargar archivos o exportar.
Con esta campaña, el actor de la amenaza intenta descargar el archivo wp-config.php, que es el núcleo que contiene los detalles de configuración base del sitio web, como la información de conexión de la base de datos.
La campaña anterior apuntaba solo a vulnerabilidades XSS, mientras que la nueva campaña apunta al número en plugins o temas obsoletos. Los investigadores creen que tanto los ataques son llevados a cabo por el mismo actor de la amenaza.
Al descargar el archivo, los atacantes pueden descargar las credenciales de la base de datos y la información de conexión que les permite a los atacantes obtener acceso a la base de datos del sitio.
La base de datos es el lugar donde se encuentran todos los contenidos del sitio, como nombres de usuario, contraseñas, publicaciones, páginas y comentarios, incluso el tema del sitio web y la configuración de WordPress.
Si su sitio web está infectado por esta campaña, puede encontrar las entradas «que contienen wp-config.php en la cadena de consulta que devolvió un código de respuesta 200», más información se puede lee en el blog de Wordfence.