I maj/juni 2020 så rapporterade säkerhetsföretaget Wordfence om två attacker mot WordPress webbplatser vars omfång i volym var oöverträffad.

Vid attacken den 28 april 2020 attackerade en angripare, med hjälp av över 24.000 IP-adresser, över 900.000 WordPress webbplatser. Denna attack fokuserade på s.k. ”Cross-Site Scripting” (XSS) sårbarheter.

Vid attacken 29 maj – 31 maj 2020 attackerade samma angripare 1.300.000 WordPress webbplatser med över 130.000.000 intrångsförsök, även här från över 20.000 olika IP-adresser. Denna attack stod enkom själv för 75 % av det totala antalet attacker mot WordPress. Attacken fokuserade på att stjäla känslig information från databasen, bl.a. login uppgifter, att skapa administrative användare, att ändra och ta bort innehåll eller att ta bort webbplatsen helt och hållet.

Hur kan 24.000 IP-adresser attackera WordPress?

Detta är möjligt då dessa IP-adresser är infekterade av skadlig programvara, s.k. ”malware”, som kontrolleras av angriparen. Enheterna kan vara datorer, servrar eller ”Internet of Things” (IoT) dvs webkameror, kylskåp, TV-apparater osv. Tillsammans bildar dessa enheter ett botnet.

Det finns många botnet

En kartläggning från datasäkerhetsföretaget Symantec 2017 visade att antalet kapade prylar som användes i botnätverk uppgick till 6,7 miljoner ur ett globalt perspektiv. Teknikanalysföretaget Gartner beräknade att under 2020 kommer antalet att vara fler än 20 miljarder.

Historiens hittills största IT-hot var ”Mirai”-attacken i oktober 2016 som använde sig av ett botnet för att angripa olika mål, bl.a. Spotify, Twitter, CNN, Dyn m.fl. Attacken lämnade stora delar av USA helt utan internetåtkomst.

Myndigheter och brottsbekämpande organisationer lyckas ibland att stänga ned ett botnet. Microsoft stängde, tillsammans med partners från 35 länder, i mars 2020 ned botnet ”Necurs”. Enbart ”Necurs” påverkade mer än 9 miljoner datorer globalt.

Under en 58-dagarsperiod observerade Microsoft att en enskild ”Necurs”-infekterad dator skickade totalt 3,8 miljoner skräppostmeddelanden till över 40,6 miljoner potentiella offer!

”Google Threat Analysis Group” rapporterade i april 2020 att det varje dag skickades 18 miljoner phishing- och malware mail och 240 miljoner meddelanden som var relaterade till coronapandemin.

”Hackare ser kriser som en möjlighet, och covid-19 är inget undantag”, heter det i blogginlägget. Cyberattackerna genomförs enligt Google mot de flesta av världens länder, inklusive Sverige.

Hur skapas ett botnet?

Ett vanligt tillvägagångssätt är detta:

Angripare och C&C

Angriparen (1) använder ett ”Control & Command Center” (C&C) (2) på vilken den skadliga koden är lagrad. ”C&C”-serverns domännamn är registrerad hos en mindre nogräknad domänleverantör.

Angriparen skickar ut phishing mails

Angriparen skickar phishing e-mail (3) till en stor mängd mottagare från sitt botnet (i detta exempel endast en server). Dessa e-mail adresser har angriparen t.ex. köpt från ”dark net”, det underjordiska nätverket för kriminella, eller stulit vid tidigare dataintrång.

Användarens datorer blir infekterade

Om mottagaren av phishing mailet nu råkar klicka på en länk eller öppna ett bifogat dokument så laddas skadlig kod ned till användarens dator. Denna kod instruerar datorn att ladda ned ytterligare ”malware”.

Nu är användarens dator infekterad. Om användaren sedan går till en webbplats som innehåller sårbarheter (4), t.ex. ej uppdaterade plugin’s eller tema, så sprids infektionen till webbplatsen.

Angriparen har nu fått kontroll över två nya datorer/IP-adresser (5) i sitt botnet!

Ytterligare datorer ingår nu i botnet

Detta fortsätter med en snöbollseffekt. Andra användare får phishing mails eller laddar ned malware från redan infekterade datorer/IP-adresser (6) och därigenom utökas angriparens botnet med ytterligare IP-adresser (7).

Vad används ett botnet till?

T.ex. för att sprida ransomware, SEO-spam, phishing, utpressning, stöld av login uppgifter, stöld av bank- och kreditkortsuppgifter, stjäla virtuell valuta m.m. Angriparen kan även hyra ut den infekterade datorn/enheten till andra angripare vilka i sin tur använder den infekterade datorn för sina egna kriminella syften.

 

Så här kan du skydda dig

  • Använd anti-virusprogram på din dator
  • Installera säkerhetspatchar på din dator (t.ex. de via ”Windows Update”)
  • Uppdatera program på din webbplats
  • Om du själv driver en egen webbserver – installera patchar från leverantörerna
  • Installera en brandvägg för webbplatsen
  • Använd starka lösenord
  • Använd inte samma lösenord på flera olika tjänster.
  • Använd ”Tvåfaktor-Autentisiering” (2FA)
  • Är misstänksam mot all e-mail
  • Lär dig/utbilda personalen att identifiera phishing mail och att inte klicka på länkar/bifogade dokument utan att först ha undersökt dessa noggrant

WP Support erbjuder tjänsten ”WordPress Säkerhet”. I denna ingår även tjänsten ”WordPress Underhåll” – vi bjuder på 30 dagar ”prova-på” av denna. Inga förpliktelser! Ingen bindningstid! Ingen kostnad!