Популярная система управления сайтом подверглась атакам

В России, как и по всему миру, резко выросло число атак на сайты, работающие на бесплатной системе WordPress. Ее используют более половины всех сайтов в зоне .ru. Получив контроль над таким ресурсом, злоумышленники могут разместить на нем вредоносное ПО, проводить DDoS- или фишинговые атаки, распространение которых выросло с переходом на удаленную работу, отмечают эксперты.

Число атак на пользователей российских сайтов под управлением WordPress с начала 2020 года выросло в два раза по сравнению с аналогичным периодом 2019 года, рассказали “Ъ” в «Лаборатории Касперского». По данным компании, в 2020 году около 730 тыс. раз пользователи, посещавшие сайты из доменной зоны .ru под управлением WordPress столкнулись с вредоносным софтом, а число уникальных адресов, с которых распространялись вредоносные объекты, достигло 38 тыс.

О глобальной вредоносной кампании, нацеленной на сайты под управлением WordPress, 5 мая предупредили специалисты компании Wordfence. Объем фиксируемого ею вредоносного трафика по всему миру превысил обычные показатели в 30 раз, в сообщении компании также отмечается, что за последнюю неделю злоумышленники попытались взломать около 1 млн сайтов.

В зоне .ru на WordPress работает 51% всех сайтов (524,5 тыс.), свидетельствуют данные Reg.ru. У Координационного центра РФ другие данные — по их подсчетам, WordPress используют 15,4% сайтов зоны .ru, при этом 64,7% сайтов эта структура относит к «прочим» CMS, то есть при их анализе выявить систему управления содержимым не удалось.

При атаке сайта, работающего на WordPress, хакеры используют набор уже известных уязвимостей в дополнениях для этой CMS: обнаружив брешь на сайте, они не только встраивают вредоносный код для перенаправления пользователей, но и оставляют за собой возможность в дальнейшем управлять этим сайтом, а также, например, устанавливают на него скрипт контрольного сервера для сложных целевых атак, рассказал старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Обнаружение критически опасной уязвимости в CMS позволяет автоматически атаковать сразу множество сайтов, отмечает директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его оценке, в этом случае злоумышленники могут продавать доступ к одному сайту всего за $0,15.

Скомпрометированные веб-ресурсы на WordPress могут использоваться злоумышленниками как промежуточные звенья для размещения вредоносного ПО и последующего фишинга, для DDoS-атак и для взлома инфраструктуры организаций, отмечает директор центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома» Владимир Дрюков. Так, например, уже проходили массовые рассылки вируса-шифровальщика Troldesh: фишинговые письма содержали ссылки на взломанные интернет-ресурсы на WordPress, откуда на компьютер жертвы скачивался шифровальщик. Опасность в том, что такие письма не детектируются большинством средств защиты, так как содержат ссылку на легитимный веб-ресурс, предупреждает господин Дрюков, напоминая, что с переходом на удаленный режим работы число фишинговых атак выросло.

С момента запуска ограничительных мер в связи с пандемией количество атак на российские ресурсы выросло на 20–25%, оценивает вице-президент ГК InfoWatch Рустэм Хайретдинов. При этом хакеры, по его словам, атакуют сайты не только на WordPress, но и на других платформах, так как массовые атаки, в отличие от целевых, совершаются на те ресурсы, в которых уязвимости не закрыты, то есть идут не от цели, а от возможности.

Юлия Степанова, Дмитрий Шестоперов