¿Me han hackeado la Web?, pero si yo no le intereso a nadie…” Suele ser un comentario recurrente de mis clientes tras un incidente de seguridad en sus páginas Web. Dar respuesta a esta pregunta requiere explicar el modelo de negocio más rentable de los ciberdelincuentes, la extorsión/secuestro digital y su relación directa con las páginas Web.

Ransomware. Tu dinero o tus datosLa extorsión, el chantaje y las peticiones de rescate son los pilares básicos sobre los que se asienta el cibercrimen actual gracias a su rentabilidad. Hoy en día, los cibercriminales han adaptado sus técnicas a los tiempos que corren, utilizando entre otros, el denominado “Ransomware“. El Ransomware es un tipo de software malicioso a través del cual los ciberdelincuentes extorsionan y obtienen el dinero de sus víctimas tras cifrar los datos del disco duro del ordenador o bloquear el acceso al sistema. Muestran un mensaje de “rescate”, que reclama una cantidad de dinero para descifrar los archivos o restablecer el sistema. Normalmente, el Ransomware se instala a través de una vulnerabilidad en el equipo, después de que el usuario haya abierto un email de phishing o haya visitado una Web maliciosa.

Estos dos últimos vectores de infección (los correos electrónicos y las Webs maliciosas) son los más importantes a través de los cuales se envía el Ransomware desde los servidores. Es un método simple y rentable. Desde un servidor comprometido se envían millones de correos electrónicos haciéndose pasar por remitentes conocidos como Correos, Hacienda, tu banco, la Policía Nacional, etc… de una forma convincente.

Phishing Correos
Con la redacción del correo electrónico nos animan a abrir el archivo adjunto en el cual se encuentra el virus (Ransomware). En el caso de tener un sistema antivirus nos alertará del daño que podría suponer el abrir dichos adjuntos, pero, en un pequeño porcentaje de las ocasiones el usuario hace caso omiso al antivirus y abre el documento adjunto confiando en el remitente. Una vez ejecutado el adjunto, se cifran los documentos de interés para el usuario o se bloquea el acceso al sistema pidiendo un rescate para volver a acceder a ellos.

Infección y secuestro de ordenador mediante Ransomware

Infección y secuestro de ordenador mediante Ransomware

De nuevo, un pequeño porcentaje de los usuarios realizan el pago llegando de esta forma el dinero al ciberdelincuente. Por este motivo, el ciberdelinciente necesita enviar una gran cantidad de correos electrónicos. Un pequeño porcentaje de una gran cantidad de correos electrónicos conlleva un número de infecciones alto. Esto solo es posible a través de los servidores. Como el que os está mostrando este artículo.

Los servidores son equipos especializados que disponen de una gran conectividad y pueden gestionar muchas conexiones simultáneas siendo el medio ideal para realizar el envío. Evidentemente, al tratarse de una actividad ilegal, el objetivo del ciberdelincuente es distribuir masivamente el Ransomware a través de servidores de terceros.

¿Cómo consiguen los ciberdelincuentes “hackear” los servidores?

El control de los servidores es el principal objetivo de los ciberdelincuentes. Es posible acceder a los servidores a través de sus vulnerabilidades o comprometiendo los servicios que ofrecen. Como por ejemplo y más común, las páginas Web.

Pongámonos por un momento en la situación del ciberdelincuente. Nos interesa controlar una gran cantidad de servidores para ser capaces de enviar la mayor cantidad de correos en el menor tiempo posible. Para ello, deberíamos de vulnerar una gran número de páginas Web o, en su defecto, encontrar una vulnerabilidad en un mismo sistema de creación de páginas Web que fuera utilizado en muchos servidores. Si consultamos las estadísticas de los sistemas de creación de páginas Web, la mitad son generadas con un mismo sistema, WordPress. Además, parte de su éxito y gran difusión es debido a que es un sistema libre, al alcance de cualquiera para utilizarlo y estudiarlo sin restricciones.
Cuota de mercado de WordPress
Fruto de este análisis y nivel de implantación existe una detallada lista de vulnerabilidades o problemas de seguridad relacionados con WordPress:

Un total de según una de las 4.206 vulnerabilidades bien documentadas del desarrollo principal de WordPress y de sus complementos (plugins y temas).

Estas vulnerabilidades públicas se van solucionando según los desarrolladores publican las diferentes y numerosas actualizaciones de seguridad. Sin ninguna duda, WordPress sería nuestro principal objetivo y sus vulnerabilidades la puerta de acceso a nuestro imperio de ciberdelincuencia.

Una vez conocidos sus problemas de seguridad públicos la “dificultad” consistiría en encontrar en Internet las Webs basadas en WordPress que no estuvieran actualizadas, por lo tanto, vulnerables.

¿Cómo encuentran los ciberdelincuentes Webs vulnerables?

Veamos lo sencillo que es encontrar por ejemplo Webs españolas basadas en WordPress, sin actualizar, sensibles de ser comprometidas a través de la vulnerabilidad CVE-2012-2399 (catalogada como crítica):

Resultados búsqueda Zoomeye

De esta forma encontramos 816 instalaciones de WordPress, versión 3.5.1 (vulnerable) en servidores españoles.

En cualquiera de los anteriores resultados sería posible vulnerar la Web y acceder al servidor que la aloja debido a que no tienen actualizada su instalación de WordPress.

Como prueba de concepto puede realizarse la siguiente petición sobre versiones 2.9.x:

http://dominio.tld/wp-includes/js/swfupload/swfupload.swf?buttonText=Web%20vulnerada%3Cimg%20src=%27http://rocketwp.com/wp-content/uploads/2013/12/wordpress-logo-notext-rgb-64.png%27%3E

Web vulnerada y servidor comprometidos listo para enviar emails con Ransomware

De esta forma podemos subir imágenes, texto o código HTML a la Web basada en WordPress, vulnerando el sistema.

Lo mismo ocurre con otras plataformas para generar páginas Webs como Moodle, Joomla, Drupal, Typo3, Prestashop, vBulletin, etc… Con el mismo objetivo, tomar el control del servidor a través de sus vulnerabilidades.

Por lo tanto, la intrusión en las páginas Web no es realmente el objetivo del ciberdelincuente sino solamente el medio para controlar los servidores. Y así poder realizar envíos masivos de emails infectados con Ransomware a los internautas.

¿Qué podemos hacer para proteger nuestra empresa y página Web?

WordPress es el eslabón más débil de la cadena de seguridadA lo largo de mis 15 años de experiencia en la Auditoría de Páginas Web y Administración de Sistemas, nunca he encontrado una página Web que no fuera vulnerable. Más aún, nunca ha sido tan sencillo conseguirlo como hoy en día. La cuota de mercado del lenguaje de programación Web PHP y el nivel de implantación de WordPress en los servidores, convierten a las aplicaciones Web en imanes para los ciberdelincuentes. Son los eslabones más débiles en la cadena de seguridad, su objetivo principal.
Como ejemplo reciente tenemos el caso de los papeles de Panamá. Donde presuntamente se ha accedido a la información del servidor a través de una vulnerabilidad presente en la Web, en un conocido plugin, revslider, te suena?

La solución para los problemas de seguridad de WordPress: Las Auditorías de Seguridad.

Mientras que los sistemas de administración de contenidos como WordPress, plugins y temas suelen ser desarrollos más económicos y sencillos que las Webs “a medida”, como hemos visto, muchos de sus componentes son vulnerables a ataques. Las vulnerabilidades de seguridad de WordPress como las que he comentado pueden ser identificadas y mitigadas a través del Test de Intrusión Web. Si su negocio utiliza WordPress asegúrese de proteger sus activos y reputación a través del Test de Intrusión Web.

PEDIR PRESUPUESTO
Sígueme

Carlos Sánchez Santos

Presidente de Bilbaodigital y gerente de Imagina Works, S.L.
Forense informático
Auditor de Seguridad FTSAU - RHCT 605007791313908 - RHCSA 100/014/133 CEH ECC942714
Sígueme