GoDaddy ha rilevato l’intrusione nei server utilizzati per il servizio di hosting condiviso. Secondo l’azienda statunitense, l’ultimo attacco risale al mese di dicembre 2022, ma nel documento 10-K inviato alla SEC (Securities and Exchange Commission) viene specificato che l’incidente di sicurezza è probabilmente correlato a quelli di marzo 2020 e novembre 2021.
Redirecting verso siti di phishing
GoDaddy scrive che le prime segnalazioni sono arrivate all’inizio di dicembre 2022. Alcuni clienti hanno notato che i visitatori dei loro siti venivano redirezionati verso altri siti. Dopo aver avviato l’indagine, l’azienda statunitense non era riuscita a riprodurre il problema.
Successivamente ha scoperto che ignoti cybercriminali avevano ottenuto l’accesso al cPanel dell’ambiente di hosting condiviso e installato un malware che causava il redirezionamento dei siti dei clienti. GoDaddy ha bloccato l’intrusione che, secondo le forze dell’ordine e gli esperti forensi, sono opera di un gruppo che ha colpito diversi servizi di hosting. Il loro scopo è attuare una campagna di phishing e distribuire malware.
Nel documento 10-K è scritto che l’accesso non autorizzato ha permesso anche il furto di codice sorgente. L’attacco di dicembre 2022 è probabilmente parte di una campagna pluriennale condotta dagli stessi autori. A marzo 2020 sono state compromesse le credenziali di login di circa 28.000 clienti, mentre a novembre 2021 sono stati compromessi i dati di circa 1,2 milioni di clienti MWP (Managed WordPress), in seguito all’accesso all’ambiente di hosting con una password rubata.
GoDaddy offre servizi di hosting ad oltre 20 milioni di clienti ed è uno dei registrar più grandi del mondo. In base all’ultimo bilancio, l’azienda ha registrato entrate per oltre 4 miliardi di dollari e profitti per oltre 350 milioni di dollari nel 2022.
Ti potrebbe interessare
18 feb 2023