A GoDaddy, empresa que é especializada em hospedagem de sites com pouco mais de 19 milhões de clientes e mais de 6.000 funcionários em todo o mundo, reportou que um invasor obteve acesso a seus servidores, roubou o código-fonte e instalou malware, causando o redirecionamento intermitente de sites de clientes. Segundo a empresa de hospedagem de sites, no início de dezembro do ano passado, ela começou a receber reclamações de clientes afirmando que os sites que possuíam estavam sendo redirecionados para domínios que não conheciam.

Depois de realizar uma investigação, a empresa descobriu que os redirecionamentos esporádicos estavam ocorrendo no que pareciam ser sites aleatórios hospedados em seus servidores de hospedagem compartilhada cPanel. “Assim que confirmamos a invasão, remediamos a situação e implementamos medidas de segurança em um esforço para prevenir futuras infecções”, disse ela em um post em seu blog.

A GoDaddy acrescentou que o ataque foi executado por um “grupo sofisticado e organizado” visando vários serviços de hospedagem. “De acordo com informações que recebemos, o objetivo [do grupo] é infectar sites e servidores com malware para campanhas de phishing, distribuição de malware e outras atividades maliciosas.”

A empresa explicou que em março de 2020 um operador de ameaças não identificado havia comprometido as credenciais de login de hospedagem de aproximadamente 28 mil clientes em suas contas de hospedagem, além das credenciais de login de hospedagem de um número limitado de funcionários da GoDaddy, embora essas credenciais de login de hospedagem não fornecessem acesso à conta principal associada aos clientes de hospedagem.

Segundo ela, o invasor teria obtido acesso ao sistema de provisionamento na base de código da Managed WordPress (MWP), plataforma de hospedagem gerenciamento de sites do WordPress, em novembro de 2021, fazendo uso de uma senha que havia sido comprometida. Essa violação tinha o potencial de afetar até 1,2 milhão de clientes MWP ativos e inativos de várias marcas da GoDaddy.

Em seu comunicado, a GoDaddy diz que, além de profissionais forenses, estão colaborando com diferentes autoridades policiais localizadas em todo o mundo para examinar mais a fundo o assunto. Além disso, afirma ter encontrado mais evidências ligando os operadores da ameaça a uma operação maior que tem atacado outros provedores de hospedagem em todo o mundo ao longo de muitos anos. Isso sugere que os invasores fazem parte de uma organização mais sofisticada e coordenada que tem direcionado seus ataques a provedores de hospedagem.