С помощью новой техники злоумышленники взламывают web-сайты, шифруют базу данных и требуют выкуп за ее расшифрование. Специалисты ИБ-компании High-Tech Bridge обнаружили новую угрозу безопасности, которая может затмить DDoS-атаки, похищение конфиденциальных данных и нанесение ущерба интернет-ресурсам. Речь идет о новой хакерской технике под названием RansomWeb, с помощью которой злоумышленники взламывают web-сайты, шифруют базу данных и требуют выкуп за ее расшифрование. В декабре прошлого года специалисты компании зафиксировали интересный случай компрометации web-сайта одного из финансовых предприятий. Ресурс перестал функционировать, сообщая об ошибке базы данных, а его владелец получил письмо от злоумышленников с требованием выкупа за ее расшифрование.
В ходе анализа выяснилось, что несколько модифицированных скриптов осуществляли шифрование информации перед вводом в базу данных и ее расшифрование после извлечения из базы. Стоит отметить, что зашифрованными были только самые критические поля таблиц базы данных. При этом ключ расшифрования содержался на удаленном web-сервере, доступ к которому можно было получить исключительно через HTTPS-соединение. В течение шести месяцев преступники наблюдали за web-сайтом. В назначенный день хакеры удалили ключ с сервера, в результате чего использовать базу данных стало невозможно. Затем злоумышленники потребовали выкуп за ее расшифровку. Как отмечают специалисты, подобные атаки могут быть использованы не только для получения выкупа, но и для нанесения ущерба web-сайту на протяжении длительного времени. В случае успешно проведенной атаки восстановить базу данных возможно только после уплаты выкупа. При этом создавать резервные копии практически не имеет смысла, поскольку база данных будет копироваться в зашифрованном виде. Однако подобную атаку достаточно легко обнаружить при помощи проведения постоянного мониторинга целостности файлов.
В ходе анализа выяснилось, что несколько модифицированных скриптов осуществляли шифрование информации перед вводом в базу данных и ее расшифрование после извлечения из базы. Стоит отметить, что зашифрованными были только самые критические поля таблиц базы данных. При этом ключ расшифрования содержался на удаленном web-сервере, доступ к которому можно было получить исключительно через HTTPS-соединение. В течение шести месяцев преступники наблюдали за web-сайтом. В назначенный день хакеры удалили ключ с сервера, в результате чего использовать базу данных стало невозможно. Затем злоумышленники потребовали выкуп за ее расшифровку. Как отмечают специалисты, подобные атаки могут быть использованы не только для получения выкупа, но и для нанесения ущерба web-сайту на протяжении длительного времени. В случае успешно проведенной атаки восстановить базу данных возможно только после уплаты выкупа. При этом создавать резервные копии практически не имеет смысла, поскольку база данных будет копироваться в зашифрованном виде. Однако подобную атаку достаточно легко обнаружить при помощи проведения постоянного мониторинга целостности файлов.