Οι εγκληματίες του κυβερνοχώρου έχουν διευρύνει τις ransomware επιθέσεις τους σε συστήματα και άτομα που είναι πιθανότερο να πληρώσουν χρήματα και έχουν αρχίσει να στοχεύουν επιχειρήσεις και δίκτυα, κρυπτογραφώντας σημαντικές βάσεις δεδομένων που χρησιμοποιούνται από τους δικτυακούς τόπους.
Το νέο καθεστώς απαιτεί υπομονή και λειτουργεί με την πρόσβαση στο διακομιστή και κρυπτογραφώντας κρίσιμα πεδία σε μια βάση δεδομένων. Όταν οι εγκληματίες κρίνουν ότι έχει περάσει αρκετός χρόνος, έτσι ώστε όλα τα αντίγραφα ασφαλείας της βάσης δεδομένων έχουν κρυπτογραφηθεί, στέλνουν το αίτημά για λύτρα στο θύμα.
Ερευνητές στο High-Tech Bridge αντιμετώπισαν τις νέες επιθέσεις τις οποίες χαρακτήρισαν RansomWeb, κατά τη διερεύνηση ενός θέματος με την ιστοσελίδα μιας χρηματοοικονομικής εταιρείας όταν βγήκε εκτός λειτουργίας εξαιτίας σφάλματος της βάσης δεδομένων.
Φαίνεται ότι υπαίτια ήταν μια εφαρμογή web που είχε παραβιαστεί έξι μήνες νωρίτερα και ορισμένες δέσμες ενεργειών του διακομιστή είχαν τροποποιηθεί ώστε να κρυπτογραφήσουν όλο το περιεχόμενο προτού προστεθούν στις βάσεις δεδομένων και να αποκρυπτογραφηθούν όταν δέχονταν το σχετικό request.
Αυτή η μέθοδος επέτρεψε στην ιστοσελίδα να λειτουργεί σωστά χωρίς να κινεί οποιαδήποτε υποψία, δεδομένου ότι δεν υπήρξε καμία ένδειξη για επίθεση. Σύμφωνα με τους ερευνητές, το κλειδί κρυπτογράφησης που θα ξεκλείδωνε τα δεδομένα κατά την εξάμηνη περίοδο, ήταν αποθηκευμένο σε έναν απομακρυσμένο διακομιστή και θα στέλνονταν μέσω ασφαλούς σύνδεσης προκειμένου να αποφευχθεί η παρακολούθηση.
“Κατά τη διάρκεια των έξι μηνών, οι hackers σιωπηλά περίμεναν, ενώ τα αντίγραφα ασφαλείας αντικαταστάθηκαν από τις πρόσφατες εκδόσεις στις βάσεις δεδομένων. Την ημέρα της επιλογής τους, οι hackers θα αφαιρούσαν το κλειδί από τον απομακρυσμένο διακομιστή. Η βάση δεδομένων θα γινόταν ακατάλληλη, η ιστοσελίδα θα έπεφτε, και οι hackers θα απαιτούσαν λύτρα για το κλειδί κρυπτογράφησης”, γράφει το High-Tech Bridge.
