Sites ucranianos registraram aumento de 10 vezes nos ataques quando a invasão começou
As empresas de segurança na Internet registraram uma onda massiva de ataques contra sites WordPress ucranianos desde que a Rússia invadiu a Ucrânia, com o objetivo de derrubar os sites e causar desmoralização geral.
A empresa de segurança cibernética Wordfence, que protege 8.320 sites WordPress pertencentes a universidades, governo, forças armadas e entidades policiais na Ucrânia, relata ter registrado 144.000 ataques somente em 25 de fevereiro.
O foco dos ataques parece ser um subconjunto de 376 sites acadêmicos que receberam 209.624 ataques entre 25 e 27 de fevereiro.
Essa onda maciça de ataques coordenados resultou no comprometimento de 30 sites de universidades ucranianas, que sofreram desfiguração completa e indisponibilidade do serviço.
“Usaremos o termo “ataque” nesta postagem do blog para indicar uma tentativa de exploração sofisticada. Isso não inclui ataques simples de força bruta (tentativas de adivinhação de login) ou tráfego distribuído de negação de serviço”, explica uma postagem no blog do Wordfence.
“Isso inclui apenas tentativas de explorar uma vulnerabilidade em um site WordPress de destino, que são os sites que o Wordfence protege.”
Segmentação da educação na Ucrânia
O grupo de hackers por trás desses ataques é um grupo pró-russo chamado “theMx0nday”, que postou evidências dos hacks no agregador de desfiguração Zone-H.
O Wordfence descobriu que os agentes de ameaças estão baseados no Brasil, mas rotearam seus ataques por meio de endereços IP finitos usando o provedor de serviços de Internet anônimo Njalla.
O grupo específico de atores já atacou sites brasileiros, indonésios, espanhóis, argentinos, americanos e turcos, enquanto suas primeiras entradas na Zona-H datam de abril de 2019.
Wordfence toma medidas especiais
Pela primeira vez em sua história, o Wordfence decidiu implantar inteligência de ameaças em tempo real em todos os sites ucranianos, independentemente do nível de assinatura de seus serviços. Normalmente, esse recurso está disponível apenas para clientes Premium.
“Estamos fazendo isso para ajudar a bloquear ataques cibernéticos direcionados à Ucrânia. Esta atualização não requer nenhuma ação dos usuários da versão gratuita do Wordfence no domínio de nível superior da UA”, detalha o Wordfence.
“Estamos ativando este feed de segurança ao vivo para sites da UA automaticamente até novo aviso. Nas próximas horas, mais de 8.000 sites ucranianos que executam a versão gratuita do Wordfence se tornarão automaticamente muito mais seguros contra ataques como esses que os visam.”
Os endereços IP usados nesses ataques já foram adicionados às listas de bloqueio associadas, que são atualizadas dinamicamente para adicionar novos IPs usados em rotação regular.
Além disso, o Wordfence enviará imediatamente todas as novas regras de firewall para sites ucranianos, sem um atraso de 30 dias, geralmente associado aos clientes que usam uma licença gratuita.