Criminelen versleutelen databases bedrijven voor losgeld
Ransomware is niet langer meer een verschijnsel waarmee alleen consumenten te maken hebben, ook bedrijven moeten voor deze vorm van cybercrime oppassen. Daarvoor waarschuwt beveiligingsbedrijf High-Tech Bridge dat met twee bedrijven te maken kreeg van wie de databases waren versleuteld.
Het eerste incident vond plaats in december bij een niet nader genoemd financieel bedrijf. De website bleek niet te werken en vertoonde databasemelding. De eigenaar kreeg op hetzelfde moment een e-mail waarin werd gesteld dat de database was versleuteld en hij voor het ontsleutelen ervan moest betalen. Uit onderzoek bleek dat de webapplicatie waar de database onderdeel van was al een half jaar eerder door de aanvallers was gecompromitteerd.
Via verschillende serverscripts werden de gegevens versleuteld voordat ze in de database terechtkwamen en ontsleuteld als ze uit de database werden gehaald. Alleen de belangrijkste velden van de databasetabellen werden versleuteld, waarschijnlijk om te voorkomen dat de prestaties van de webapplicatie eronder zouden lijden. De encryptiesleutels werden op een remote webserserver opgeslagen.
Tijdens de zes maanden dat de scrips actief waren werden ook alle back-ups van het bedrijf met de versleutelde versies van de database overschreven. In december verwijderden de criminelen de encryptiesleutel van de remote webserver, waardoor de database onbruikbaar werd en de website niet meer werkte.
Forum
Vorige week kreeg het beveiligingsbedrijf weer met een zaak te maken waarbij de database van een bedrijf was versleuteld. Dit keer ging het om een MKB-onderneming van wie de forumdatabase was versleuteld. Het forum werd gebruikt voor klantsupport en was daardoor van groot belang voor het bedrijf. Wederom ontving de eigenaar een e-mail waarin om losgeld werd gevraagd. De aanvallers bleken de forumsoftware te hebben gepatcht zodat wachtwoorden en e-mails tussen de webapplicatie en database "on-the-fly" werden versleuteld.
In dit geval was het forum al twee maanden eerder via een gestolen FTP-wachtwoord gecompromitteerd. Volgens High-Tech Bridge zijn veel hostingbedrijven en webmasters nog niet bekend met deze vorm van ransomware. Het is echter de vraag of het nog zo populaire als traditionele ransomware zal worden. Het zou namelijk lastig zijn om de gehele database te versleutelen zonder dat de webapplicatie hier last van heeft. Daarnaast zou de aanval ook redelijk snel bij een regelmatig bijgewerkte webapplicatie kunnen worden opgemerkt.
Een database op de webserver is kwetsbaar, en een webserver met een databaseconnectie naar een andere machine heeft ook meer mogelijkheden dan ik ideaal vind. Er draait teveel programmalogica op de webserver zelf en die kan teveel aanrichten in de database als de webserver gecompromitteerd raakt.
Zet de business logic op een applicatieserver die niet rechtstreeks vanaf het internet te benaderen is, zet de publieke presentatielaag op een webserver en laat die via een vorm van RPC (zoals SOAP) de applicatieserver benaderen, en zorg dat functies die niet publiek beschikbaar horen te zijn voor de webserver ook echt niet benaderbaar zijn. Voor gebruik binnen de eigen onderneming heb je een aparte ingang naar de applicatieserver met een uitgebreidere interface, of een andere applicatieserver met meer mogelijkheden die met dezelfde database praat.
Je kan nog wel datavelden versleutelen als aanvaller op een webserver, maar je kan de validatie op de applicatieserver niet overslaan, dus de kans is groot dat versleutelde velden niet in de database terecht komen. En lukt dat voor sommige velden toch dan worden die niet on-the-fly ontsleuteld als deze gegevens vanuit het bedrijf worden ingezien of gebruikt, en de schade valt veel eerder op.
Natuurlijk is dit lastiger te bouwen en duurder, maar net als bij veel software voor privégebruik is er een neiging om het zo makkelijk, laagdrempelig en weerstandloos mogelijk te maken allemaal, zonder veel bewustzijn van de risico's daarvan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.