A medida que se van infectando nuevas páginas web, estas se convierten de forma automática en parte de la botnet, actúan en base a las instrucciones de los atacantes, y continúan la ‘epidemia’. El problema está en la baja seguridad del CMS, como es evidente, a pesar de que existen formas de protección para las páginas web en contra de este tipo de ataques; pero es raro encontrarse con una correcta configuración de seguridad. Así que esta botnet lo tiene tan sencillo como probar combinaciones de forma infinita, para el nombre de usuario y contraseña, hasta que se encuentran las credenciales válidas y finalmente se accede al sitio web.
Una botnet que se dedica a ‘secuestrar’ páginas web configuradas con WordPress mediante ataques de fuerza bruta y de diccionario
Los portales infectados, e introducidos dentro de una botnet, son controlados por servidores C&C que mandan las instrucciones para que, de forma automática, estas webs afectadas localicen e infecten otras nuevas páginas web. El script, para los ataques de fuerza bruta, prueba combinaciones típicas. Si encuentra un usuario ‘Alice’, por ejemplo, de forma automática probará contraseñas como alice1, alice2018 y combinaciones parecidas. Una técnica que, evidentemente, es poco probable que tenga éxito en un ataque en particular, pero que al ejecutarse a gran escala sí termina por conseguir decenas de accesos no autorizados.
No se trata, ni mucho menos, del primer ataque a gran escala que se detecta en contra de páginas web WordPress. La cuota de mercado de este gestor de contenidos es la que hace que haya tanta comunidad y un soporte tan completo, pero también la que ha propiciado que los ciberdelincuentes desarrollen sus ataques contra esta plataforma.
