Ataques a servidores web de IIS aumentaron en 1.7 millones en el ultimo trimestre de 2018
En el segundo trimestre de 2018, IIS, Drupal y Oracle WebLogic son altamente objetivos de los atacantes. Los ataques basados en IIS solo aumentaron de dos mil a 1.7 millones, desde el primer trimestre del 2018.
Según eSentire, los ataques basados ??en las siguientes tecnologías web aumentaron en el segundo trimestre de 2018. IIS (30 por ciento), WebLogic (24 por ciento) y Apache (menos del uno por ciento).
"Biotecnología, contabilidad, bienes raíces, mercadotecnia y construcción fueron las principales verticales que experimentaron la mayor cantidad de tráfico debido a vulnerabilidades obsoletas".
La mayoría de los ataques de IIS se combinan con la vulnerabilidad de Oracle Fusion Middleware CVE-2017-10271 y la vulnerabilidad de ejecución de código con (CVE-2017-7269) IIS versión 6.0.
Los atacantes no se dirigen a una industria en particular, lee el informe eSentire. Con Biotecnología, el exploit de IIS 6.0 y WebLogic fue dominante, Real Estate, una firma de mercadotecnia dirigida al D-Link exploit y, por último, Construction experimentó los ataques Drupalgeddon2.
eSentire también tenía una colección de sistemas operativos entre la infraestructura de ataque involucrada: más de 400 de las IP de ataque tenían registros de Shodan que indicaban que eran máquinas con Windows (incluidos XP, 7, 8, 2008 y 2012). Además, se reportaron cerca de 350 servidores FTP y más de 100 servidores de correo.
Según el informe de Shodan, más de 3.5 millones de servidores web IIS expuestos. En el segundo trimestre de 2018, muchos grupos de piratas informáticos atacan las IP con un conjunto único de explotaciones y algunas IP con varias explotaciones.
El troyano bancario Emotet, de cuatro años, vuelve a aparecer y los atacantes distribuyen el malware a través de archivos PDF y documentos.
El Emotet es uno de los troyanos bancarios de rápida expansión que podría costar alrededor de $ 1 millón para recuperar las redes afectadas y los autores de malware están mejorando continuamente el malware para mantener la persistencia.
Ataques basados en IIS
Cuarenta y nueve por ciento de las muestras de Emotet incluyeron "factura", "pago" o "cuenta" en su nombre de archivo. Los nombres de archivo de documentos no especificados a menudo consistían solo en cadenas de números y letras al azar. Emotet y Hancitor se observaron en grandes porciones con el segundo trimestre.
Hancitor, también llamado como Chanitor, generalmente se envía como un documento habilitado para macros de Office en mensajes de phishing con mensajes "críticos", por ejemplo, mensajes telefónicos, faxes o facturas.
Las observaciones de PowerShell malicioso en el segundo trimestre de 2018 mostraron una ligera disminución en los comandos únicos de PowerShell (48 en el primer trimestre frente a 44 en el segundo trimestre) y una disminución correspondiente del dos por ciento en las técnicas de ofuscación.
Fecha actualización el 2021-10-11. Fecha publicación el 2018-10-11. Categoría: servidores web IIS Autor: Oscar olg Mapa del sitio Fuente: gbhackers