Os especialistas do Wordfence acaba de divulgar que o ataque partiu de um grupo conhecido por segunda-feira. Em nota, o grupo já havia declarado apoio a Rússia no ataque. Ainda segundo o Wordfence, o atacante está no Brasil.
Porém, o ataque passou pelo provedor de internet na Finlândia, o Njalla. Este provedor é conhecido por focar em privacidade, através do uso de VPSs e VPNs. Além disso, o provedor Njalla tem como diretor o co-fundador do Pirate Bay, Peter Sunde.
Como o Wordfence identificou o ataque brasileiro
De acordo com as informações divulgadas, o Wordfence protege um pouco mais de 8.000 sites na Ucrânia. Mas, além dos sites de universidades, a empresa também protege sites governamentais, privados e até policiais.
Os ataques, foram identificados durante o ataque da Rússia a Ucrânia.
Padrões gerais de ataque quando a invasão russa cinética começou em 24 de fevereiro
A invasão russa da Ucrânia começou em 24 de fevereiro. O gráfico abaixo mostra o número geral de tentativas de exploração em sites que protegidos pelo Wordfence, com o TLD ucraniano. Este conjunto de dados inclui 8.320 sites.
O termo “ataque” nesta postagem foi usado pelo Wordfence para indicar uma tentativa de exploração sofisticada. Isso não inclui ataques de força bruta simples (tentativas de adivinhação de login) ou tráfego distribuído de negação de serviço. Inclui apenas tentativas de explorar uma vulnerabilidade em um site WordPress de destino, os sites que o Wordfence protege.
O pico acima é de pouco mais de 144.000 ataques em 25 de fevereiro, um dia após o início do ataque cinético. O pico é aproximadamente três vezes o número de ataques diários do início do mês nos sites ucranianos que usam o Wordfence.
Quais endereços IP iniciaram este ataque?
Os principais endereços IP de ataque direcionados a sites EDU.UA durante nossa janela de dois dias quando a invasão da Ucrânia começou são:
- 185.193.127.179 com 169.132 ataques
- 159.223.64.156 com 26.074 ataques
- 217.77.209.242 com ataques de 1991
A grande maioria dos ataques de 185.193.127.179 foram direcionados a instituições de ensino na Ucrânia, com mais de 171.000 ataques direcionados a sites EDU.UA . Eles foram atrás de alguns sites governamentais e três sites individuais (redigidos).
Eles lançaram 24 ataques contra empresas na Ucrânia e quatro ataques contra empresas no Brasil. A conexão do Brasil ficará clara a seguir.
Motivações do atacante
Você notará os sites brasileiros listados no ZoneH na captura de tela acima, creditada ao grupo Monday. Lembre-se, vimos alguns hits direcionados ao Brasil a partir do endereço IP Njalla acima.
O arquivo no ZoneH da página desfigurada da National University Ostroh Academy, que é uma universidade bem conhecida que data de 1576 , é assim. Esta imagem foi parcialmente editada para evitar a promoção de agentes de ameaças.
Trajeto do ataque
O Wordfence identificou que o ator da ameaça está baseado no Brasil. Eles usaram vários endereços IP para lançar um ataque a universidades ucranianas desde quando a invasão russa da Ucrânia começou.
O grupo de segunda-feira historicamente tem como alvo um grande número de sites brasileiros. Eles incorporam um vídeo de rap brasileiro no HTML dos sites que desfiguram. Sua conta no Twitter está em português. A partir disso, os especialistas do Wordfence declarou que eles estão sediados no Brasil e são brasileiros.
A maioria dos ataques foi roteada via Njalla na Finlândia, e resolveu mascarar a identidade de seus clientes. Os ataques comprometeram pelo menos 30 sites de universidades ucranianas, listados no ZoneH, com evidências dos comprometimentos.
Os endereços IP maliciosos envolvidos neste ataque estão incluídos em uma lista de bloqueio, que bloqueará completamente o acesso ao WordPress e outros aplicativos PHP instalados junto com o WordPress.
A lista é atualizada em tempo real à medida que os invasores alternam entre novos endereços IP. Também foi implementado novas regras de firewall e detecção de malware para bloquear e detectar ataques emergentes e atividades maliciosas.
As informações deste post foi fornecida pelo Wordfence. O artigo foi originalmente escrito por Mark Maunder com contribuições significativas da equipe de inteligência de ameaças do Wordfence.