• RansomWeb: Novo Vetor de Ataque Criptografa Databases de Sites

    Publicado em 31-01-2015 18:00
    0 Comentários Comentários
    Muitas pessoas se tornam vítimas das práticas de ransomware. Como já é do conhecimento de muitos, trata-se de um malware que criptografa os dados de suas vítimas e exige dinheiro para decriptografá-los. Neste cenário, surge uma nova tendência no mercado cybercriminoso, que mostra que os atacantes agora terão como alvo os websites, bem como a obtenção de um pagamento de resgate daqueles que caíram em seu golpe. Dessa maneira, em dezembro de 2014, os especialistas em segurança da High-Tech Bridge descobriram um caso muito interessante relacionado a um site de uma empresa financeira que foi seriamente comprometido: o site estava fora de serviço, exibindo um erro de banco de dados, enquanto o dono do site havia recebido um e-mail pedindo um resgate para "decriptografar o banco de dados" do mesmo. A aplicação Web em questão, apesar de ser muito simples e pequena, era muito importante para o negócio da empresa - a organização não podia se dar ao luxo de suspendê-la, nem de anunciar o seu comprometimento.


    Diante do que foi visto, a investigação cuidadosamente feita pelos profissionais da High-Tech Bridge revelou que a aplicação Web foi comprometida há seis meses, e vários scripts de servidor foram modificados com a intenção de codificar os dados antes de inseri-los no banco de dados. Uma espécie de patching invisível "no-fly" foi disponibilizada para os usuários de aplicativos Web. Em meio a estas ocorrências, é essencial observar que apenas os campos mais críticos das tabelas do banco de dados foram criptografados (provavelmente para não afetar o desempenho do aplicativo Web). Todos os registros de banco de dados previamente existentes, foram criptografados em conformidade. A chave de criptografia foi armazenada em um servidor Web remoto, estando acessível apenas através de protocolo HTTPS (provavelmente para evitar a interceptação da chave por vários sistemas de monitoramento de tráfego). Importante observar que durante seis meses, os cybercriminosos estavam esperando silenciosamente o momento certo para a investida, enquanto os backups foram sendo substituídos pelas versões recentes do banco de dados.


    Saiba Mais:

    [1] Techworm http://www.techworm.net/2015/01/rans...databases.html
    + Enviar Comentário