Instalan malware en los servidores de uno de los mayores alojadores de páginas web del mundo

El gigante del alojamiento web GoDaddy dice haber sufrido una brecha de seguridad en la que atacantes desconocidos han robado código fuente e instalado malware en sus servidores.

El ataque se produjo tras vulnerar su entorno de alojamiento compartido cPanel en un ataque que ha tenido lugar a lo largo de varios años.

GoDaddy descubrió la brecha de seguridad tras los informes de clientes a principios de diciembre de 2022 de que sus sitios web estaban siendo utilizados para redirigir el tráfico a dominios aleatorios.

«Basándonos en nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instalaron malware en nuestros sistemas y obtuvieron piezas de código relacionadas con algunos servicios dentro de GoDaddy», dijo la firma de hosting.

La compañía dice que las brechas anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña multianual.

El incidente de noviembre de 2021 condujo a una violación de datos que afectó a 1,2 millones de clientes del servicio de WordPress gestionado después de que los atacantes violaran el entorno de alojamiento de WordPress de GoDaddy utilizando una contraseña comprometida.

Obtuvieron acceso a las direcciones de correo electrónico de todos los clientes afectados, sus contraseñas de administrador de WordPress, credenciales sFTP y de base de datos, y claves privadas SSL de un subconjunto de clientes activos.

GoDaddy ahora está trabajando con expertos forenses externos en ciberseguridad y agencias policiales como parte de una investigación en curso sobre la causa raíz de la brecha.

GoDaddy dice que también ha encontrado pruebas adicionales que vinculan a los actores de la amenaza con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.