GoDaddy: criminosos tiveram acesso à rede por anos antes de vazarem códigos

A GoDaddy revelou neste final de semana ter sido vítima de uma grande campanha de ataques cibernéticos, com os criminosos tendo acesso à rede interna da empresa de hospedagem desde, pelo menos, 2020. O mais recente reflexo do golpe foi o roubo de códigos-fonte de soluções da companhia, além da contaminação de servidores e sistemas com malware, que levou ao comprometimento de sites de clientes.

• Vírus “misterioso” desvia tráfego de milhares de sites com Wordpress
• Quatro medidas urgentes para aumentar a segurança de sua empresa

A intrusão foi descoberta após a empresa receber múltiplos relatos, com administradores de domínios informando que suas páginas estavam sendo usadas para redirecionar usuários a sites perigosos. Os alertas apareceram em dezembro do ano passado, com uma investigação demorada pela dificuldade em reproduzir o problema; a confirmação da intrusão veio agora, em comunicado público feito pela empresa.

Enquanto no pronunciamento a GoDaddy fala sobre uma campanha que durou “múltiplos anos”, a indicação de que os ataques aconteciam, pelo menos, desde março de 2020 veio em um registro junto à Comissão de Valores Imobiliários dos EUA. Nele, a companhia associa o incidente atual com outro registrados há três anos e, também, em novembro de 2021; no primeiro, 28 mil credenciais de usuários foram comprometidas, enquanto no segundo, o total era de 1,2 milhão de clientes dos serviços de WordPress da companhia.

Indo além, a companhia afirma que a onda de ataques é de autoria de um grupo “altamente sofisticado”, que parece focado em usar a infraestrutura da GoDaddy em golpes de phishing, distribuição de malware e outras atividades maliciosas. Faz sentido com a ideia de redirecionamento, com a hospedagem legítimas e sites reconhecidos sendo um vetor usual de invasões, com a reputação sendo usada para escapar da detecção por softwares de segurança.

GoDaddy segue investigando onda de ataques

Já quanto ao comprometimento de código-fonte, a companhia não deu mais detalhes, afirmando apenas que a programação de parte de seus serviços foi obtida pelos criminosos neste ataque. Ainda, a companhia afirma que a mesma campanha de ataques que a atingiu pode ter vitimado outros serviços de hospedagem de grande porte, apontando o trabalho conjunto com autoridades como elemento que comprova essa alegação, que novamente, aparece sem mais detalhes.

O comunicado termina com um pedido de desculpas e, também, o comprometimento com a melhoria dos sistemas de segurança da empresa. A GoDaddy afirma também seguir monitorando o comportamento irregular e bloqueando tentativas de intrusão por criminosos, enquanto coleta evidências e trabalha com agências regulatórias e autoridades para chegar aos responsáveis pelos ataques.

O pronunciamento não traz recomendações de segurança aos eventualmente acessados. A atenção a páginas e domínios internos, bem como o monitoramento em busca de redirecionamentos indevidos de usuários a outros sites, é o melhor caminho para proteção diante do que foi relatado pela empresa de hospedagem. Usar senhas complexas no acesso a perfis de administração e painéis de controle também serve como medida de proteção diante de incidentes assim.

Fonte: GoDaddy