Журналисты издания ZDNet обратили внимание на необычную проблему, от которой страдают пользователи различных Git-репозиториев, включая GitHub, Bitbucket и GitLab. На прошлой неделе неизвестный злоумышленник или группа лиц начала взламывать чужие репозитории, удалять все исходники и коммиты, а затем требовать выкуп в размере 0,1 биткоина (около 570 долларов по текущему курсу) за восстановление данных.
Сообщение с требованием выкупа, которое можно увидеть выше, гласит, что перед удалением информации злоумышленник предусмотрительно сохранил ее на своем сервере, и жертве отводится 10 дней на совершение платежа. В противном случае преступник угрожает удалить данные окончательно.
К настоящему моменту на Bitcoin-кошелек, упомянутый в послании, не поступило ни одного платежа, хотя журналисты сообщают о 392 жертвах вымогательской кампании на одном только GitHub, а эксперты компании Atlassian, владеющей BitBucket, заявляют как минимум о 1000 пострадавших.
По информации специалистов ИБ-компании Bad Packets, судя по всему, происходящее – это спланированная атака, ради которой неизвестные просканировали сеть в поисках /.git/config и файлов конфигурации Git, а затем использовали найденные таким образом учетные данные для проникновения в чужие репозитории. Во время беседы с журналистами ZDNet представители GitLab подтвердили, что эта теория специалистов очень похожа на правду, и в расследованном GitLab случае проблема крылась именно в скомпрометированных учетных данных, хранившихся открытым текстом.
Dang, I thought all those "/.git/config" scans we detected were harmless. Guess we know what the goal was now.
— Bad Packets Report (@bad_packets) May 3, 2019
Стоит отметить, что пользователи StackExchange считают, что злоумышленник вовсе не удаляет информацию их репозиториев, а лишь изменяет заголовки коммитов Git. То есть данные могут быть восстановлены без выплаты выкупа. На StackExchange уже подготовили инструкцию на такой случай.
Кроме того, специалисты по безопасности активно призывают пострадавших в социальных сетях не платить выкуп шантажисту, а обращаться в поддержку GitHub, GitLab или Bitbucket, так как, скорее всего, там смогут помочь.