סוג חדש של מתקפות אשר דומה ומאפייניו ל-Ransomware נתגלה לאחרונה - ניצול פרצות באתרי אינטרנט בכדי להצפין את מסד הנתונים המקושר אליו ובכך להשבית לחלוטין...
את פעילות האתר.
המתקפה, המכונה RansomWeb, נתגלתה לראשונה בסוף שנת 2014; גם במקרה זה דורשים התוקפים מן החברה הנפגעת לשלם להם כופר בכדי לפתוח את ההצפנה ולהחזיר את האתר לפעילות.
האתר הראשון שהותקף הושבת כליל מפעילות והציג הודעת שגיאה במסד הנתונים. אל החברה שהותקפה נשלח מייל ובו דרישה לתשלום כופר על סך $50,000 "בכדי להסיר את ההצפנה".
התוקפים הצפינו רק מספר קטן של שדות קריטיים בבסיס הנתונים, בעוד מפתח ההצפנה אוחסן על שרת מרוחק ומאובטח.
החברה המותקפת לא שילמה את סכום הכופר, התוקפים הסירו את מפתח ההצפנה מן השרת המרוחק ובסופו של התהליך - לאחר כחצי שנה - האתר הורד מן הרשת.
לפני כשבועיים אותרה תקיפה נוספת במתווה דומה על חברה נוספת.
המכנה המשותף לשני המקרים הוא שהגיבוי האוטומטי של האתרים אשר המשיך להתבצע גם לאחר ההצפנה גרם לכך שלא ניתן יהיה לשחזר את האתרים מגיבוי "נקי" ובלתי מוצפן. במידה ועותק תקין של הגיבוי היה נשמר בנפרד (או אם לא היה מתבצע תהליך של גיבוי אוטומטי לאחר התקיפה) - ניתן היה לאושש ולהעלות את האתר מחדש בקלות.
כמו כן, באם היו פעילים אמצעי ניטור כלשהם על אפליקציית ה-Web של האתר - ניתן היה לזהות במהירות שמתבצעים שינויים באפליקציה (ע"י ה-Scripts בהם השתמשו התוקפים לצורך ההצפנה) - ולהגיב בהתאם.
לידיעה המלאה - כאן