image

Malware op hostingservers GoDaddy liet klantensites naar malafide sites wijzen

zaterdag 18 februari 2023, 08:40 door Redactie, 8 reacties

Criminelen zijn er afgelopen december in geslaagd om malware op hostingservers van GoDaddy te installeren die websites van klanten naar malafide websites liet wijzen. Dat heeft de hostingprovider bekendgemaakt. Volgens GoDaddy is het doelwit van één groep aanvallers die met een meerjarige campagne tegen de hostingprovider bezig zijn.

Volgens een verklaring van GoDaddy aan de Amerikaanse beurswaakhond SEC wist de groep in maart 2020 de inloggegevens van 28.000 klanten te stelen, waarmee er toegang tot hun hostingaccounts kon worden verkregen, alsmede de inloggegevens van medewerkers. Anderhalf jaar later in november 2021 wisten de aanvallers met een gecompromitteerd wachtwoord toegang tot een provisioning systeem van GoDaddy te krijgen, waarbij de gegevens van 1,2 miljoen klanten met een beheerde WordPress-omgeving werden gestolen.

Het laatste incident in deze reeks dat GoDaddy ontdekte en rapporteerde dateert van december 2022, toen de groep erin slaagde om malware op de cPanel-hostingservers van de provider te installeren. Deze malware zorgde ervoor dat willekeurige websites van klanten werden doorverwezen naar malafide websites. Hoe de aanvallers toegang tot de hostingomgeving konden krijgen wordt nog onderzocht.

"We denken dat deze incidenten onderdeel van een meerjarige campagne van een geraffineerde aanvalsgroep zijn, die onder andere malware op onze systemen installeerde en broncode van verschillende GoDaddy-diensten wist te bemachtigen", aldus de verklaring. De groep zou als doel hebben het infecteren van websites en servers met malware voor phishingaanvallen, het verspreiden van malware en andere malafide activiteiten. GoDaddy stelt dat de incidenten geen grote financiële gevolgen voor het bedrijf hebben gehad. Het bedrijf is één van de grootste registrars en hostingproviders op internet. Het had vorig jaar een omzet van 3,82 miljard dollar en telt meer dan 21 miljoen klanten.

Reacties (8)
18-02-2023, 09:53 door Anoniem
Wat een puin hoop daar zeg!!!
18-02-2023, 11:04 door Anoniem
Zijn zij nou zo slim of zijn wij nou zo dom?
18-02-2023, 13:15 door Anoniem
Was de puinhoop maar beperkt door daar alleen.

Het gebeurt kennelijk bij meer hosting bedrijven, vooral daar waar de beveiliging aan de client overgelaten wordt.

U doet het werk voor ons en als dat verkeerd mocht uitpakken, hebt u letterlijk het nakijken.

Het 'getrainde aapjes circuit" weet u dan niet verder te redden en u staat als eindgebruikers in de kou.
U hangt letterlijk steeds al aan de onderste mem.

Hoe ver laten de verantwoordelijken en uitbuiters dit alles nog 'voort rotten' en komen dan met hun geprefereerde 'oplossing'?

#obserwator
18-02-2023, 18:28 door Anoniem
Ik vermoed dat teveel mensen op deze planeet vinden dat perfectionisme een handicap is.. :-)
18-02-2023, 19:28 door Anoniem
Ze gebruiken ook veel software met recente zeroday problemen: servicenow confluence windows cpanel office wordpress etc.
19-02-2023, 13:30 door Anoniem
Door Anoniem: Was de puinhoop maar beperkt door daar alleen.

Het gebeurt kennelijk bij meer hosting bedrijven, vooral daar waar de beveiliging aan de client overgelaten wordt.

U doet het werk voor ons en als dat verkeerd mocht uitpakken, hebt u letterlijk het nakijken.

Het 'getrainde aapjes circuit" weet u dan niet verder te redden en u staat als eindgebruikers in de kou.
U hangt letterlijk steeds al aan de onderste mem.

Hoe ver laten de verantwoordelijken en uitbuiters dit alles nog 'voort rotten' en komen dan met hun geprefereerde 'oplossing'?

#obserwator

Het gebeurt kennelijk bij meer hosting bedrijven, vooral daar waar de beveiliging aan de client overgelaten wordt.
En zie hier, het argument bij uitstek om geen gebruik te maken van hosting.
19-02-2023, 14:03 door Anoniem
Wat hebben die 'software-spaghetti-coders' destijds allemaal niet veroorzaakt?

Doe eens, zo maar voor de lol, een shodan IP hostname scannetje op de racks van een grote cloud provider.

Casus: eind-gebruiker wordt geblokkeerd of heeft geen connectie (error).

De eindgebruikjer kan in zo'n geval niet communiceren met de organisatie van de Cloud-boer, die geeft immers niet thuis.
Die verwijst dan weer door naar de admins, die er hosten, want die stellen de security policies in.

Lopen daar 'asbakken' rond of lui, die liever op hun handen zitten, dan moe worden, wordt jouw kontje warm,
maar interesseert hen dat geen ene r**t. Ze lopen toch wel binnen.

Dan zeggen ze, dat uiteindelijk de wal het schip wel zal keren op een gegeven moment,
maar dat duurt dan bij dit soort giga-tankers wel heel lang.

Wanneer verschijnt het bordje "End of the Interwebz in sight".

#obserwator
19-02-2023, 17:26 door Anoniem
Maar hoe kunnen we ingaan op de voornaamste bedreigingen in en van de cloud,
als de cloud-beveiliging gedaan wordt door de hosting-clients van de cloud?

Het zijn juist zij, die gehost woprden, die blokkeren en uitsluiten.

De geblokkeerden en uitgesloten weten niet tegen welke boom ze moeten blaffen.

Lees: https://www.checkpoint.com/cyber-hub/cloud-security/what-is-cloud-security/top-cloud-security-issues-threats-and-concerns/ M.i. nog steeds actueel.

Goed dat het forum hier het weer zelf verzorgen wil, naast de google site verificatie.

#webproxy
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.