Provedor de hospedagem LeaseWeb é vítima de seqüestro de DNS
- Sexta, 19th Fevereiro, 2016
- 13:39pm
Ele tem mais de 15.000 clientes que vão desde pequenas empresas a grandes empresas e reivindicações para gerir quase 4 por cento do tráfego IP global.
A mensagem dos hackers.
Bem, isso é embaraçoso
LeaseWeb ainda está investigando como os atacantes conseguiram alterar os registros de DNS para seu nome de domínio, mas parece que eles ganharam acesso à senha de administrador de domínio no registro de domínio a partir do qual LeaseWeb comprou seu domínio.
Spear phishing poderia ter sido uma parte do ataque, mas neste momento a investigação está em curso por isso não há resposta definitiva, Alex de Joode, consultor jurídico sênior de LeaseWeb, disse segunda-feira por e-mail.
Por causa deste ataque, e-mails enviados para @ leaseweb.com endereços enquanto os registros de DNS desonestos estavam no local não chegaram a servidor de e-mail da empresa. O servidor Web desonestos onde o domínio foi apontado pelos atacantes não têm serviço de e-mail configurado, portanto, não há mensagens de e-mail foram comprometidos, disse de Joode.
Também não há indicação de que a página da Web desonestos servido malware ou foi usado para roubar credenciais, disse ele.
Tem havido alguma especulação de que os atacantes poderiam ter explorado uma vulnerabilidade recentemente divulgado no faturamento e suporte de software WHMCSpara retirar o ataque. Este software é particularmente popular entre as empresas de hospedagem web.
O próprio LeaseWeb não usa WHMCS, mas a empresa não sabe se o software é usado pelo seu registro de domínio, disse de Joode.
"Nós tomamos medidas imediatas para evitar a repetição do incidente no curto prazo", disse ele. "Também vamos atualizar nossas políticas de segurança para domínios com base nos resultados do inquérito em curso."
Desfigurar sites sequestrando os registros de DNS para seus nomes de domínio, a fim de redirecioná-los para servidores Web desonestos é uma técnica popular entre os hackers. Atacantes geralmente ganham acesso ao painel de administrador do domínio de phishing as credenciais de log-in de um usuário autorizado ou por enganar os funcionários registro de domínios para redefinir a senha para a conta de destino.
Em agosto, um grupo de hackers chamado Exército Eletrônico Sírio (SEA) usado spear phishing para seqüestrar temporariamente os nytimes.com, sharethis.com, huffingtonpost.co.uk, twitter.co.uk e twimg.com nomes de domínio. SEA apóia publicamente o presidente sírio, Bashar al-Assad e seu governo ea maioria de seus ataques são uma indicação política.
LeaseWeb não faz atualmente sabe por que ele foi alvejado pela equipe KDMs, de Joode disse.
seqüestro de DNS pode ter consequências muito mais graves do que um Web site que está sendo desfigurado. Atacantes poderiam usar esta técnica para direcionar os usuários para uma versão phishing do site, a fim de roubar suas credenciais ou poderiam utilizar explorar kits para infectar os visitantes para o servidor Web ladino com malware.
Para impedir a modificação não autorizado dos proprietários do domínio registros DNS podem pedir aos seus registradores para colocar bloqueios de registro no lugar para seus domínios. Esse bloqueio é colocado no nível com o registro as empresas que administram o .com, .net, .org, e outras extensões de domínio e faz a modificação de registros de DNS, mesmo quando um registro de domínio está comprometido, muito mais difícil.