Как сообщает The Register, компания High-Tech Bridge выпустила отчет о новой атаке. По сведениям специалистов компании, целью зловреда являются веб-сайты, обладающие доступом к базам данных. В результате атаки сайт выходит из строя, отображая сообщение об ошибке базы данных, а владелец сайта получает от злоумышленников письмо с требованием выкупа.

Злоумышленники изменяют настройки шифрования, используемые в базе данных, и размещают ключ шифрования на внешнем сервере, доступном по протоколу HTTPS. Для этого подвергаются модификации скрипты сервера, служащие для шифрования и дешифрования данных «на лету».

Какое-то время база данных работает нормально, но в определенный момент ключ удаляется с сервера, что делает работу сайта с базой невозможной. Время ожидания от момента подмены ключа до его удаления может составлять до полугода и играет важную роль в атаке, так как за это время резервные копии базы данных со старым ключом устаревают и заменяются копиями базы с новым ключом.

При первом обнаружении атаки специалисты High-Tech Bridge сделали вывод, что имеют дело с целевой APT-атакой. Впоследствии компания обнаружила еще один подобный случай, никак не связанный с первым; общим между ними было лишь то, что атакованные ресурсы имели определенную ценность для жертв. По-видимому, сфера применения этой техники, получившей название RansomWeb, достаточно широка.

Специалисты выделили несколько ключевых особенностей RansomWeb:

  • Атака позволяет «выключать» веб-ресурсы эффективнее, чем любые DDoS-атаки.
  • Эффект атаки сохраняется на неопределенное время, вплоть до полного уничтожения контента сайта.
  • Резервные копии в ходе атаки также повреждаются и не могут помочь восстановить сайт до актуального состояния.
  • Практически невозможно восстановить данные без уплаты выкупа, и у многих жертв просто не остается иного выхода, кроме как сдаться на милость злоумышленников.
  • Компании-хостеры не готовы к такого рода угрозам и не могут защитить своих клиентов от них.

При этом отмечаются также простота детектирования атаки с помощью средств контроля за целостностью файлов и сложность шифрования целой базы без повреждения функциональности и снижения производительности сайта. Эти обстоятельства облегчают своевременное обнаружение атаки и ее отражение.

«Мы, вероятно, встретились с новой растущей угрозой для веб-сайтов, которая может затмить взломы и DDoS-атаки, — сказал Илья Колоченко, генеральный директор High-Tech Bridge. — Атаки RansomWeb могу вызвать необратимые повреждения, которые очень легко нанести и довольно сложно предотвратить. Дни, когда хакеры атаковали веб-сайты ради славы и развлечения, прошли, теперь ими движет финансовая выгода. Начинается эра веб-вымогательства, рэкета и шантажа».

Категории: Вредоносные программы, Главное, Хакеры