Каждый раз вход происходил под учетными данными пользователей. И в каждом случае это были слабые логины и пароли вида admin:admin или test:test123. Все входы были сделаны с первой попытки и в короткий промежуток времени в 12 минут. Это говорит о том, что у злоумышленников заранее были все логины и пароли от веб-ресурсов. Можно сделать вывод, что кибератака была заранее спланирована и автоматизирована. Следовательно, она могла коснуться клиентов всех хостинг-провайдеров, учитывая популярность атакуемых CMS. Примечательно, что атака производилась с IP-адреса шестой версии. Это всего второй подобный случай за 2024 год по наблюдениям центра кибербезопасности hoster.by, как правило во время киберинцидентов используется IPv4. «Мы ежедневно фиксируем попытки разного типа атак на ресурсы клиентов и оперативно устраняем их последствия. Но в случае массовых взломов важно показать признаки, по которым все желающие смогут проверить свои сайты, которые находятся в зоне риска. Для этого мы подробно описываем результаты расследования», — комментирует генеральный директор hoster.by Сергей Повалишев. Для владельцев сайтов на OpenCart и WordPress рекомендуется ознакомиться с технической информацией по результатам расследования киберинцидента и проверить, нет ли на вашем веб-ресурсе описанных признаков взлома. Вне зависимости от CMS или движка вашего сайта, эксперты по кибербезопасности рекомендуют заменить пароль на стойкий, если по какой-то причине вы до сих пор используете что-то вроде “admin123”. «Нет рекомендации более банальной и в то же время важной — убедитесь, что административная панель вашего сайта защищена стойким паролем. Вторая рекомендация — осуществляйте мониторинг ваших ресурсов и используйте инструменты защиты веб-приложений. Именно благодаря тому, что ряд клиентов использовали hoster Guard, наши аналитики быстро получили уведомления о подозрительной активности на этих сайтах и моментально пресекли попытку взлома», — комментирует руководитель центра безопасности hoster.by Антон Тростянко.