Neue Attacke beschädigt Sicherheits-Backups durch Austausch des Chiffrierungsschlüssels

Wie The Register mitteilt, hat das UnternehmenHigh-Tech Bridge einen Bericht über eine neue Attacke veröffentlicht. Laut Angaben von Experten des Unternehmens hat der Schädling Websites zum Ziel, die über Zugriff auf Datenbanken verfügen. Als Folge der Attacke wird die Website lahm gelegt und es wird eine Benachrichtigung über einen Datenbankfehler angezeigt, während der Betreiber der Site von den Cyberkriminellen eine Mail mit Lösegeldforderungen erhält.

Die Internetverbrecher verändern die Verschlüsselungseinstellungen, die in der Datenbank Anwendung finden und platzieren den Chiffrierungsschlüssel auf einem externen Server, der über das HTTPS-Protokoll erreichbar ist. Zu diesem Zweck werden die Serverskripte modifiziert, die der Daten-Ver- und –Entschlüsselung „im Flug“ dienen.

Für eine gewisse Zeit funktioniert die Datenbank normal, doch in einem bestimmten Moment wird der Schlüssel vom Server gelöscht, was die Arbeit der Website mit der Datenbank unmöglich macht. Die Zeit zwischen dem Austausch des Schlüssels und dem Löschen des Schlüssels beträgt bis zu einem halben Jahr und spielt eine wichtige Rolle bei der Attacke, da innerhalb dieser Zeit die Backups der Datenbank mit altem Schlüssel veralten und durch Datenbank-Backups mit neuem Schlüssel ersetzt werden.

Als sie es zum ersten Mal mit dieser Attacke zu hatten, kamen die Experten von High-Tech Bridge zu dem Schluss, dass sie es sich hierbei um eine zielgerichtete APT-Attacke handelt. Daraufhin tat das Unternehmen noch einen weiteren ähnlichen Vorfall auf, der nichts mit dem ersten zu tun hatte. Die einzige Gemeinsamkeit bestand darin, dass die angegriffenen Ressourcen einen bestimmten Wert für das Opfer darstellten. Offensichtlich ist der Anwendungsbereich dieser Technik mit dem Namen RansomWeb, recht weit gefasst.

  • Die Spezialisten heben einige Schlüsselmerkmale von RansomWeb hervor:
  • Die Attacke ermöglicht es, Webressourcen effektiver „auszuschalten“ als alle DDoS-Attacken.
  • Der Effekt eines Angriffs hält sich für eine gewisse Zeit, bis hin zur vollständigen Zerstörung des Website-Contents.
  • Backups werden im Zuge der Attacke ebenfalls beschädigt und sind daher bei der Wiederherstellung der Website keine Hilfe.
  • Es ist praktisch unmöglich, die Daten ohne Zahlung des Lösegelds wiederherzustellen und vielen Opfern bleibt manchmal einfach nichts anderes übrig, als sich den Cyberkriminellen auf Gedeih und Verderb zu ergeben.
  • Hosting-Anbieter sind auf eine solche Art von Bedrohungen nicht vorbereitet und können ihre Kunden nicht davor schützen.

Dabei wird darauf hingewiesen, dass die Attacken ganz einfach mit Hilfe von Methoden zur Überprüfung der Dateiintegrität detektiert werden können und es wird die Komplexität der Verschlüsselung der gesamten Datenbank hervorgehoben – ohne Beschädigung der Funktionalität und ohne Verminderung der Performance der Website. Diese Umstände erleichtern die rechtzeitige Entdeckung einer Attacke und deren Abwehr.

"Wir sind wohl auf eine neue, wachsende Bedrohung für Websites gestoßen, die Hacks und DDoS-Attacken ersetzen könnte“, sagte Ilia Kolochenko, CEO von High-Tech Bridge. „Die RansomWeb-Attacken können unumkehrbare Schäden verursachen, die sehr leicht zuzufügen und nur schwer zu verhindern sind. Die Tage, an denen Hacker Websites angriffen, um berühmt zu werden oder um sich die Zeit zu vertreiben, sind vorbei. Jetzt werden sie von finanziellen Vorteilen getrieben und es beginnt die Ära des Online-Betrugs und der Internet-Erpressung."

Quelle:        The Register

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.