Techniky RansomWeb

 

Stále více a více lidí stávají oběťmi ransomware , malware, který šifruje data a požaduje peníze na jejich dešifrování. Novým trendem na trhu ukazuje, že zločinci budou nyní zaměřit své webové stránky a také získat platbu výkupného od vás.

RansomWeb: vznikající internetové stránky hrozba, které mohou zastínit DDoS krádeží dat a defacements?
RansomWeb: vznikající internetové stránky hrozba, které mohou zastínit DDoS krádeží dat a defacements?
V prosinci 2014, naše bezpečnostní experti objevil velmi zajímavý případ finanční firmy webové stránky kompromis: webová stránka byla mimo provoz zobrazující k chybě databáze, zatímco majitel webové stránky dostal email s žádostí o výkupné, aby "dešifrovat databáze". Webová aplikace v pochybnost byl docela jednoduchý a malý, ale velmi důležité pro podnikání společnosti, která nemohla dovolit ji přerušit, ani oznamuje své kompromis. Pečlivé vyšetřování, které jsme provedli odhalila následující:
Webová aplikace byla ohrožena před šesti měsíci, několik serverových skriptů byly upraveny k zašifrování dat před jejich vložením do databáze a dešifrovat po získání dat z databáze. Něco jako "on-fly" záplatování neviditelný pro uživatele webových aplikací.
Pouze nejkritičtější pole databázové tabulky byly zašifrovány (pravděpodobně nebude mít vliv na výkon webové aplikace hodně). Všechny dříve existující záznamy databázové byly odpovídajícím způsobem šifrována.
Šifrovací klíč byl uložen na vzdáleném webový server přístupný pouze přes HTTPS (asi aby se zabránilo klíčovou odposlechu různých monitorovacích dopravní systémy).
V průběhu šesti měsíců, hackeři byli tiše čekají, zatímco zálohy byly přepsány novějších verzí databáze.
V den X, hackeři odstranili klíč ze vzdáleného serveru. Databáze se stal nepoužitelný, webové stránky šel mimo provoz, a hackeři požadoval výkupné za šifrovacího klíče.
Byli jsme si jistí, že je to individuální příkladem sofistikované APT cílení konkrétního podniku, ale minulý týden jsme čelili jiný podobný případ. Jeden z našich zákazníků, SMB, byl vydírán po jeho ... phpBB fórum šel mimo provoz. Fóra byl používán jako hlavní platformu pro zákaznickou podporu, a proto bylo důležité pro zákazníka.
Jednalo se o poslední phpBB 3.1.2 propuštěn na 25. listopadu 2014. Žádný uživatel mohl Přihlašovací údaje (včetně fóra moderátory a administrátory). Fórum bylo on-line, ale všechny funkce, které vyžadují uživatelské fórum, které mají být ověřeny nefungoval. Naše důkladné šetření vyplynulo, že fórum motor byl záplatovaný takovým způsobem, že hesla a e-maily uživatelů byly zašifrované "on-fly" mezi webové aplikace a databáze.