Criminelen versleutelen databases bedrijven voor losgeld
Ransomware is niet langer meer een verschijnsel waarmee alleen consumenten te maken hebben, ook bedrijven moeten voor deze vorm van cybercrime oppassen. Daarvoor waarschuwt beveiligingsbedrijf High-Tech Bridge dat met twee bedrijven te maken kreeg van wie de databases waren versleuteld.
Het eerste incident vond plaats in december bij een niet nader genoemd financieel bedrijf. De website bleek niet te werken en vertoonde databasemelding. De eigenaar kreeg op hetzelfde moment een e-mail waarin werd gesteld dat de database was versleuteld en hij voor het ontsleutelen ervan moest betalen. Uit onderzoek bleek dat de webapplicatie waar de database onderdeel van was al een half jaar eerder door de aanvallers was gecompromitteerd.
Via verschillende serverscripts werden de gegevens versleuteld voordat ze in de database terechtkwamen en ontsleuteld als ze uit de database werden gehaald. Alleen de belangrijkste velden van de databasetabellen werden versleuteld, waarschijnlijk om te voorkomen dat de prestaties van de webapplicatie eronder zouden lijden. De encryptiesleutels werden op een remote webserserver opgeslagen.
Tijdens de zes maanden dat de scrips actief waren werden ook alle back-ups van het bedrijf met de versleutelde versies van de database overschreven. In december verwijderden de criminelen de encryptiesleutel van de remote webserver, waardoor de database onbruikbaar werd en de website niet meer werkte.
Forum
Vorige week kreeg het beveiligingsbedrijf weer met een zaak te maken waarbij de database van een bedrijf was versleuteld. Dit keer ging het om een MKB-onderneming van wie de forumdatabase was versleuteld. Het forum werd gebruikt voor klantsupport en was daardoor van groot belang voor het bedrijf. Wederom ontving de eigenaar een e-mail waarin om losgeld werd gevraagd. De aanvallers bleken de forumsoftware te hebben gepatcht zodat wachtwoorden en e-mails tussen de webapplicatie en database "on-the-fly" werden versleuteld.
In dit geval was het forum al twee maanden eerder via een gestolen FTP-wachtwoord gecompromitteerd. Volgens High-Tech Bridge zijn veel hostingbedrijven en webmasters nog niet bekend met deze vorm van ransomware. Het is echter de vraag of het nog zo populaire als traditionele ransomware zal worden. Het zou namelijk lastig zijn om de gehele database te versleutelen zonder dat de webapplicatie hier last van heeft. Daarnaast zou de aanval ook redelijk snel bij een regelmatig bijgewerkte webapplicatie kunnen worden opgemerkt.
Een database op de webserver is kwetsbaar, en een webserver met een databaseconnectie naar een andere machine heeft ook meer mogelijkheden dan ik ideaal vind. Er draait teveel programmalogica op de webserver zelf en die kan teveel aanrichten in de database als de webserver gecompromitteerd raakt.
Zet de business logic op een applicatieserver die niet rechtstreeks vanaf het internet te benaderen is, zet de publieke presentatielaag op een webserver en laat die via een vorm van RPC (zoals SOAP) de applicatieserver benaderen, en zorg dat functies die niet publiek beschikbaar horen te zijn voor de webserver ook echt niet benaderbaar zijn. Voor gebruik binnen de eigen onderneming heb je een aparte ingang naar de applicatieserver met een uitgebreidere interface, of een andere applicatieserver met meer mogelijkheden die met dezelfde database praat.
Je kan nog wel datavelden versleutelen als aanvaller op een webserver, maar je kan de validatie op de applicatieserver niet overslaan, dus de kans is groot dat versleutelde velden niet in de database terecht komen. En lukt dat voor sommige velden toch dan worden die niet on-the-fly ontsleuteld als deze gegevens vanuit het bedrijf worden ingezien of gebruikt, en de schade valt veel eerder op.
Natuurlijk is dit lastiger te bouwen en duurder, maar net als bij veel software voor privégebruik is er een neiging om het zo makkelijk, laagdrempelig en weerstandloos mogelijk te maken allemaal, zonder veel bewustzijn van de risico's daarvan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
