Izsiljevalski napad na nezaščitene repozitorije Git
Matej Huš
4. maj 2019 ob 10:22:41
Po navadi izsiljevalska programska oprema grozi, da bo nepovratno uničila podatke na okuženih računalnikih, če žrtev ne bo plačala določene vsote bitcoinov izsiljevalcem. Napadalci, ki so včeraj začeli lomastiti po repozitorijih na GitHubu, GitLabu in Bitbucketu, pa so se izsiljevanja lotili drugače. Vsebino repozitorijev so počistili in nadomestili z eno samo datoteko, ki vsebuje navodilo, kam je treba nakazati 0,1 bitcoina (500 evrov) in poslati elektronsko sporočilo, da bodo podatke vrnili. To ni niti tako nenavadno niti tragično. Zanimiv pa je drugi del opozorila, kaj se bo zgodilo ob ignoriranju. V tem primeru bodo napadalci kodo objavili javno ali jo kako drugače izkoristili, grozijo. Na računu, kjer zahtevajo bitcoine, se odkupnin še ni nabralo nič (kaže, da je v vseh sporočilih naveden isti naslov).
Trenutno so našteli 392 žrtev, verjetno pa jih je še več. Ni še jasno, kako so napadalci pridobili dostop do repozitorijev, a prve informacije kažejo na socialni inženiring. Nekatere žrtve so namreč s stisnjenimi zobmi potrdile, da so uporabljale izrazito šibka gesla. Toda drugi pravijo, da so uporabljali celo dvostopenjsko avtentikacijo, pa je rezultat enak. Verjetno so napadalci prečesali internet v iskanju podatkov za dostop do repozitorijev. Vdor torej ni povezan z varnostjo infrastrukture Git, temveč so bili uporabniki malomarni sami. To potrjuje tudi vodja varnosti pri GitLabu Kathy Wang. Kot so ugotovili prizadeti uporabniki, je v številnih primerih moč kodo dobiti nazaj, ker ni v celoti pobrisana.