• CMVG
  • LinkedIn
  • Facebook
  • Twitter

Criminelen versleutelen databases bedrijven voor losgeld

Posted by admin January - 30 - 2015 Comments Off on Criminelen versleutelen databases bedrijven voor losgeld

detailRansomware is niet langer meer een verschijnsel waarmee alleen consumenten te maken hebben, ook bedrijven moeten voor deze vorm van cybercrime oppassen. Daarvoor waarschuwt beveiligingsbedrijf High-Tech Bridge dat met twee bedrijven te maken kreeg van wie de databases waren versleuteld.

Het eerste incident vond plaats in december bij een niet nader genoemd financieel bedrijf. De website bleek niet te werken en vertoonde databasemelding. De eigenaar kreeg op hetzelfde moment een e-mail waarin werd gesteld dat de database was versleuteld en hij voor het ontsleutelen ervan moest betalen. Uit onderzoek bleek dat de webapplicatie waar de database onderdeel van was al een half jaar eerder door de aanvallers was gecompromitteerd.

Via verschillende serverscripts werden de gegevens versleuteld voordat ze in de database terechtkwamen en ontsleuteld als ze uit de database werden gehaald. Alleen de belangrijkste velden van de databasetabellen werden versleuteld, waarschijnlijk om te voorkomen dat de prestaties van de webapplicatie eronder zouden lijden. De encryptiesleutels werden op een remote webserserver opgeslagen.

Tijdens de zes maanden dat de scrips actief waren werden ook alle back-ups van het bedrijf met de versleutelde versies van de database overschreven. In december verwijderden de criminelen de encryptiesleutel van de remote webserver, waardoor de database onbruikbaar werd en de website niet meer werkte.

Forum

Vorige week kreeg het beveiligingsbedrijf weer met een zaak te maken waarbij de database van een bedrijf was versleuteld. Dit keer ging het om een MKB-onderneming van wie de forumdatabase was versleuteld. Het forum werd gebruikt voor klantsupport en was daardoor van groot belang voor het bedrijf. Wederom ontving de eigenaar een e-mail waarin om losgeld werd gevraagd. De aanvallers bleken de forumsoftware te hebben gepatcht zodat wachtwoorden en e-mails tussen de webapplicatie en database “on-the-fly” werden versleuteld.

In dit geval was het forum al twee maanden eerder via een gestolen FTP-wachtwoord gecompromitteerd. Volgens High-Tech Bridge zijn veel hostingbedrijven en webmasters nog niet bekend met deze vorm van ransomware. Het is echter de vraag of het nog zo populaire als traditionele ransomware zal worden. Het zou namelijk lastig zijn om de gehele database te versleutelen zonder dat de webapplicatie hier last van heeft. Daarnaast zou de aanval ook redelijk snel bij een regelmatig bijgewerkte webapplicatie kunnen worden opgemerkt.

 

Security

Comments are closed.