Se piensa que una red de bots enormemente compleja ha inficionado centenares de miles de sitios al agredir sus plataformas latentes del sistema de administración de contenido (CMS).
También: Los mejores servicios de alojamiento web
fijado CachemiraNegrola botnet empezó a operar en el mes de noviembre de dos mil diecinueve.
Los estudiosos de seguridad de Imperva, que examinaron la red de bots la semana pasada en una serie de dos partes, afirmaron que el principal objetivo de la red de bots semeja ser inficionar sitios y después utilizar sus servidores para el ataque. en menor grado, mostrando desfiguraciones web.
Imperva afirmó que la botnet empezó siendo pequeña, mas tras meses de desarrollo incesante, evolucionó hasta transformarse en un comportamiento complejo capaz de agredir miles y miles de sitios al día.
Los mayores cambios ocurrieron en mayo de este año cuando la botnet aumentó su infraestructura de comando y control (C&C), mas asimismo su arsenal de exploits.
En estos días, KashmirBlack es «C&C (comando y control) administrado por servidor y usa más de sesenta servidores, en su mayor parte inocentes, como una parte de su infraestructura», afirmó Imperva.
«[The botnet] administra cientos y cientos de bots, cada uno de ellos de los que se comunica con el C&C para percibir nuevos objetivos, efectuar ataques de fuerza bárbara, instalar puertas traseras y expandir el tamaño de la botnet».
Imagen: Imperva
KashmirBlack prospera escaneando Internet en pos de sitios que utilicen software obsoleto y después utilizando exploits para hallar vulnerabilidades conocidas para inficionar el lugar y su servidor latente.
Algunos de los servidores pirateados se emplean para mandar spam o criptominería, mas asimismo para agredir otros sitios y sostener viva la red de bots.
Desde noviembre de dos mil diecinueve, Imperva afirma que ha visto a la botnet abusar de dieciseis vulnerabilidades:
Los exploits enumerados previamente dejaron a los operadores de KashmirBlack agredir sitios que ejecutan plataformas CMS como WP, Joomla!!, PrestaShop, Magneto, Drupal Trademark, vBulletin, osCommerce, OpenCart y Yeager.
Algunos exploits atacaron el propio CMS, al tiempo que otros atacaron ciertos de sus componentes internos y bibliotecas.
“Durante nuestra investigación, hemos sido testigos de su evolución de una botnet de volumen medio con capacidades básicas a una infraestructura masiva que llegó para quedarse”, afirmaron el viernes los estudiosos de Imperva.
Con base en múltiples pistas encontradas, los estudiosos de Imperva afirmaron que piensan que la botnet fue obra de un pirata informático llamado Exc1337miembro del equipo de piratas informáticos de Indonesia fantasma fantasma.
