La empresa de alojamiento web GoDaddy, confirma que ha sufrido una brecha en la que atacantes desconocidos han robado su código fuente. Además, han instalado malware en sus servidores después de acceder a su entorno de alojamiento compartido cPanel. Los ciberdelincuentes han estado accediendo a sus sistemas y robando datos de clientes a lo largo de tres años.
Si bien GoDaddy descubrió la brecha de seguridad a principios de diciembre de 2022, los atacantes han tenido acceso a la red de la compañía a lo largo de tres años.
Tal y como ha señalado durante una presentación ante la SEC (Securities and Exchange Commision), «según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas».
En este sentido, la firma añade que, entre otras cosas, este grupo instaló malware en sus sistemas y se hizo con fragmentos de código relacionados con algunos servicios dentro de GoDaddy.
Según las pesquisas que ha realizados, las infracciones anteriores, y de las que tuvo conocimiento en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña. Por lo tanto, esta intrusión podría hacer durado, al menos, tres años.
Los incidentes previos de GoDaddy
El incidente de noviembre de 2021 derivó en a una violación de datos que afectó a 1,2 millones de clientes de Managed WordPress. Una filtración que se produjo después de que los ciberdelincuentes accedieran al entorno de alojamiento de WordPress de GoDaddy utilizando una contraseña comprometida.
Como consecuencia, consiguieron acceso a las direcciones de correo electrónico de todos los clientes afectados, sus contraseñas de administrador de WordPress, credenciales de base de datos y FTP, así como claves privadas SSL de un subconjunto de clientes activos.
Antes, en marzo de 2020, GoDaddy ya había alertado 28.000 clientes de que un atacante usó las credenciales de su cuenta de alojamiento web para conectarse a su cuenta de alojamiento a través de SSH.
Los nuevos datos que revelan que la amenaza podría llevar tres años activa, ha llevado a GoDaddy a trabajar con expertos forenses de ciberseguridad externos como parte de una investigación en curso sobre la raíz de esta vulnerabilidad.
Ataques dirigidos a otras empresas de alojamiento web
Desde GoDaddy también apuntan que han encontrado evidencias que vinculan a los ciberdelincuentes con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo.
«Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de alojamiento como GoDaddy», ha apuntado la compañía en un comunicado.
Según la información con la que cuenta, el objetivo de este grupo sería infectar sitios web y servidores con malware para llevar a cabo campañas de phishing, distribución de malware y otras actividades maliciosas.
La elección de GoDaddy no sería casual, ya que es uno de los registradores de dominios más grandes y también ofrece servicios de alojamiento a más de 20 millones de clientes en todo el mundo.
