RansomWeb - новая опасность

Специалисты компании High-Tech Bridge обнаружили новую угрозу безопасности, которая может нанести гораздо больший вред, чем все известные на сегодняшний день методы нанесение ущерба сайтам.

В чем угроза?

Техника называется RansomWeb. Хакеры получают доступ к сайту, изучают его, скрытно модифицируют скрипты ресурса таким образом, что наиболее важные данные перед сохранением в базу данных шифруются при помощи некоего ключа. Данный ключ хакеры размещают на удаленном подконтрольном сервере. Аналогичный процесс происходит при выводе данных из базы – данные расшифровываются при помощи этого ключа и отдаются дальше. Таким образом, владелец ресурса ничего не знает об этом, сайт вроде работает как и прежде без изменений. Однако при сохранении новой информации в базу – она шифруется.

Но в определенный момент, хакеры просто удаляют ключ со своего сервера и атакуемый ресурс просто перестает работать из-за ошибок базы данных – все данные зашифрованы и расшифровать их без ключа не получится. За ключ, естественно, просят немалые деньги.

Тут не поможет ни репликация, ни восстановление вчерашнего бэкапа – наверняка данные шифровались при записи в базу несколько недель, а то и месяцев. Реплика тоже оказалась зашифрована, бэкапы за последний месяц аналогично. Хакеры вели скрытое наблюдение над сайтом и шифрование данных ни один месяц. Поэтому всевозможные средства восстановления базы тут не помогут. Даже если у вас и остался бэкап базы двух-трех месячной давности, где данные еще не зашифрованы, вряд ли он поможет - информацию за эти два-три месяца восстановить не получится.

Кто подвержен заражению?

С учетом распространения всевозможных фреймворков по работе с базами данных, для осуществления шифрования информации при сохранении ее в базу достаточно изменить буквально несколько строк кода в одном-двух файлах сайта. Владелец ресурса этого попросту не заметит (конечно если не увидит подозрительные данные в самой базе). Поэтому данная угроза представляет очень серьезную опасность.

Но все-же способы защититься от нее есть.

Как защититься?

Практически 100% защиту вам обеспечит контроль изменения файлов вашего сайта (контроль целостности файлов). Заражение ресурса происходит путем изменения некоторых файлов сайта. После таких изменений, данные начинают шифроваться. Вы можете об этом не знать достаточно долго. Но если у вас подключен контроль изменения файлов, то вы узнаете об изменениях сразу же и сможете предпринять действия по ликвидации заражения – удалить шифрование путем восстановления исходного файла и поправить базу данных от уже зашифрованных данных.

Подключите контроль безопасности своего сайта от Monitorus. В него уже входит контроль изменения файлов вашего сайта. При любом изменении Вы получите уведомление.

Отметим, что Monitorus следит за угрозами безопасности сайтов и уведомляет своих клиентов о найденных уязвимостях и способах их устранения. Бесплатно добавьте свой сайт на контроль и вы всегда будете получать информацию о его доступности и безопасности.

О том, что мы будем делать с вашим сайтом - читайте здесь и здесь.

Вы так же можете бесплатно подписаться на Дайджест безопасности, заполнив форму ниже. Мы будем уведомлять вас обо всех уязвимостях, которые будут находиться в дальнейшем: о том, как проверить свой сайт/сервер и исправить ту или иную уязвимость.