Los criminales han ampliado sus ataques de ransomware a entidades que son más propensas a pagar el dinero y han comenzado a dirigir sus ataques a las empresas mediante el cifrado de las bases de datos importantes utilizadas por sus sitios web.
El nuevo esquema requiere paciencia y trabaja a través del acceso al servidor y el cifrado de campos críticos en una base de datos. Cuando los criminales consideren que ha pasado suficiente tiempo para que todos los respaldos de la base de datos contienen la versión cifrada, envían una petición de rescate a la víctima.
La información se descifra en la marcha, hasta que se elimine la llave.
Investigadores de seguridad de alta tecnología encontraron este nuevo enfoque, que denominaron RansomWeb, esto al investigar un problema con el sitio web de una sociedad financiera por estar fuera de servicio a causa de un error de base de datos.
Al parecer la culpa era de una aplicación web que había sido comprometida hace seis meses y algunos scripts del servidor se habían modificado para cifrar todo el contenido antes de ser añadido a la base de datos y descifrarlos cuando eran solicitados.
Este método permite que el sitio web funcione correctamente sin levantar sospechas, ya que no había indicios de un ataque.
Según los investigadores, la clave de cifrado que desbloquea los datos durante el período de seis meses se almacena en un servidor remoto y que sería enviada a través de una conexión segura con el fin de evitar su intercepción
"Durante seis meses, los hackers esperaron en silencio, mientras que los respaldos de seguridad estaban siendo sustituidos por las versiones recientes de la base de datos. En el día X, Los hackers quitaron la llave del servidor remoto. La base de datos se hizo inservible, el sitio web quedó fuera de servicio, y los piratas exigieron un rescate por la clave de cifrado ", escribe High-Tech Bridge.Se esperan más incidentes de este tipo.
Inicialmente, los expertos en seguridad creen que la institución financiera fue víctima de un ataque dirigido, pero un caso similar se hizo conocido a ellos hace una semana. El incidente más reciente terminó con la interrupción de autenticar a un foro phpBB.
Al igual que en el caso anterior, los datos se cifran sobre la marcha entre la aplicación web y la base de datos.
Tras el análisis, los investigadores también descubrieron dos scripts de instalación de acceso backdoor (puerta trasera) que los intrusos habían dejado en el servidor. Uno de los instaladores modificaría el archivo "config.php" para incluir las rutinas de cifrado/descifrado; El otro procesaba las credenciales disponibles con el fin de cifrarlas
Después de dos meses de espera, los agresores quitaron la llave del servidor remoto y entregaron sus demandas financieras para su intercambio.
"Los ataques RansomWeb pueden causar daños irreparables, son muy fáciles de hacer y muy difíciles de prevenir. Los días en que los piratas informáticos atacaban sitios web por la gloria o la diversión han terminado, ahora el beneficio financiero es lo que los impulsa. La era de chantaje web está a punto de comenzar", dijo Ilia Kolochenko, CEO de Hight-Tech Bridge.Puede que tenga razón, ya que las vulnerabilidades que llevan a comprometer servidores web se presentan muy a menudo, y las aplicaciones web son las culpables en la mayoría de los casos.
Fuente: Softpedia
