Центр кибербезопасности hoster.by зафиксировал попытку массового взлома сайтов на популярных системах управления контентом. 16 декабря за неполные 12 минут произошел несанкционированный доступ к 90 сайтам на OpenCart, практически в то же время мишенью стали почти 30 сайтов на WordPress. Цель злоумышленников в обоих случаях – изменить код, чтобы перенаправлять посетителей на сторонние веб-ресурсы и собирать данные о них. А причина уязвимости сайтов оказалась тривиальной — слабые пароли.

Каждый раз вход происходил под учетными данными пользователей. И в каждом случае это были слабые логины и пароли вида admin:admin или test:test123. 

Все входы были сделаны с первой попытки и в короткий промежуток времени в 12 минут. Это говорит о том, что у злоумышленников заранее были все логины и пароли от веб-ресурсов. Можно сделать вывод, что кибератака была заранее спланирована и автоматизирована. Следовательно, она могла коснуться клиентов всех хостинг-провайдеров, учитывая популярность атакуемых CMS.

Примечательно, что атака производилась с IP-адреса шестой версии. Это всего второй подобный случай за 2024 год по наблюдениям центра кибербезопасности hoster.by, как правило во время киберинцидентов используется IPv4.  

Для владельцев сайтов на OpenCart и WordPress рекомендуется ознакомиться с технической информацией по результатам расследования киберинцидента и проверить, нет ли на вашем веб-ресурсе описанных признаков взлома. Вне зависимости от CMS или движка вашего сайта, эксперты по кибербезопасности рекомендуют заменить пароль на стойкий, если по какой-то причине вы до сих пор используете что-то вроде “admin123”.