Os criminosos estão resgatando backups de banco de dados, depois de comprometer aplicações web para alterar as configurações de criptografia «bases de dados.
Detalhado por consultoria de segurança High-Tech Ponte , os ataques começar com um ataque a um web site que yeilds acesso a um servidor de banco de dados. Uma vez dentro, os atacantes alterar as configurações de criptografia usado pelo banco de dados e armazenar a chave em um servidor HTTPS em algum lugar, uma operação que aparentemente escapa a atenção de alguns administradores.
Para retirar o ataque, The Crims remover a chave do servidor remoto, em que ponto o site operador percebe o seu site está em baixo. Pouco tempo depois, um e-mail pedindo dinheiro para o acesso à chave de criptografia.
Os autores do ataque parecem ser bem versado em objetivos de ponto de recuperação, porque High-Tech Ponte diz que o ataque observou ocorreu seis meses antes dos pedidos de resgate. Que, presumivelmente, deixou a vítima contemplando seus objetivos de ponto de recuperação, uma vez que poderia ou restaurar backups com uma chave que eles sabiam ou ir sem seis meses de atualizações do banco de dados.
"A aplicação web foi comprometido há seis meses [e] vários scripts de servidor foram modificados para codificar os dados antes de inseri-lo no banco de dados e para descriptografar depois de obter dados do banco de dados", a empresa escreve, descrevendo o ataque como um silencioso 'on- the-fly 'processo.
"Durante seis meses, os hackers estavam esperando silenciosamente, enquanto os backups foram sendo substituídas pelas versões recentes do banco de dados.
"No dia X, hackers tirou a chave do servidor remoto. Banco de dados tornou-se inutilizável, o site saiu do serviço, e hackers exigiram um resgate para a chave de criptografia."
Dois backdoors phpBB não detectados por qualquer plataforma de antivírus foram encontrados no servidor de empresa de pequeno porte, incluindo um arquivo config.php remendo instalador que acrescentou uma classe cifra que descriptografado e dados criptografados com a função mcrypt_encrypt PHP () armazenar a chave de criptografia em um servidor remoto.
Atacantes quebrou em usar uma senha FTP comprometida, disseram.
Os investigadores disseram que era "quase impossível" para recuperar sem pagar resgates, acrescentando que os anfitriões web seria pego de surpresa.
Sysadmins poderia inclinar-se sobre a integridade do arquivo de monitoramento para frustrar o ataque, embora esta técnica é raramente usado com aplicativos da web. ®
Nenhum comentário:
Postar um comentário