За допомогою нової техніки зловмисники зламують веб-сайти, шифрують базу даних і вимагають викуп за її розшифрування.

Фахівці ІБ-компанії High-Tech Bridge виявили нову загрозу безпеки, яка може затьмарити DDoS-атаки, викрадення конфіденційних даних і нанесення збитку інтернет-ресурсів. Мова йде про нову хакерську техніці під назвою RansomWeb, за допомогою якої зловмисники зламують веб-сайти, шифрують базу даних і вимагають викуп за її розшифрування.

У грудні минулого року фахівці компанії зафіксували цікавий випадок компрометації веб-сайту одного з фінансових підприємств. Ресурс перестав функціонувати, повідомляючи про помилку бази даних, а його власник отримав листа від зловмисників з вимогою викупу за її розшифрування.

У ході аналізу з'ясувалося, що кілька модифікованих скриптів здійснювали шифрування інформації перед введенням в базу даних та її розшифрування після вилучення з бази. Варто відзначити, що зашифрованими були тільки самі критичні поля таблиць бази даних. При цьому ключ розшифрування містився на віддаленому веб-сервері,, доступ до якого можна було отримати виключно через HTTPS-з'єднання. Протягом шести місяців злочинці спостерігали за веб-сайтом. У призначений день хакери видалили ключ з сервера, в результаті чого використовувати базу даних стало неможливо. Потім зловмисники зажадали викуп за її розшифровку.

Як відзначають фахівці, подібні атаки можуть бути використані не тільки для отримання викупу, але й для нанесення збитку веб-сайту протягом тривалого часу. У разі успішно проведеної атаки відновити базу даних можливо тільки після сплати викупу. При цьому створювати резервні копії практично не має сенсу, оскільки база даних буде копіюватися в зашифрованому вигляді. Однак подібну атаку досить легко виявити за допомогою проведення постійного моніторингу цілісності файлів.