Неизвестные взламывают Git-репозитории и требуют выкуп

Журналисты издания ZDNet обратили внимание на необычную проблему, от которой страдают пользователи различных Git-репозиториев, включая GitHub, Bitbucket и GitLab. На прошлой неделе неизвестный злоумышленник или группа лиц начала взламывать чужие репозитории, удалять все исходники и коммиты, а затем требовать выкуп в размере 0,1 биткоина (около 570 долларов по текущему курсу) за восстановление данных.

Сообщение с требованием выкупа, которое можно увидеть выше, гласит, что перед удалением информации злоумышленник предусмотрительно сохранил ее на своем сервере, и жертве отводится 10 дней на совершение платежа. В противном случае преступник угрожает удалить данные окончательно.

К настоящему моменту на Bitcoin-кошелек, упомянутый в послании, не поступило ни одного платежа, хотя журналисты сообщают о 392 жертвах вымогательской кампании на одном только GitHub, а эксперты компании Atlassian, владеющей BitBucket, заявляют как минимум о 1000 пострадавших.

По информации специалистов ИБ-компании Bad Packets, судя по всему, происходящее – это спланированная атака, ради которой неизвестные просканировали сеть в поисках /.git/config и файлов конфигурации Git, а затем использовали найденные таким образом учетные данные для проникновения в чужие репозитории. Во время беседы с журналистами ZDNet представители GitLab подтвердили, что эта теория специалистов очень похожа на правду, и в расследованном GitLab случае проблема крылась именно в скомпрометированных учетных данных, хранившихся открытым текстом.

Стоит отметить, что пользователи StackExchange считают, что злоумышленник вовсе не удаляет информацию их репозиториев, а лишь изменяет заголовки коммитов Git. То есть данные могут быть восстановлены без выплаты выкупа. На StackExchange уже подготовили инструкцию на такой случай.

Кроме того, специалисты по безопасности активно призывают пострадавших в социальных сетях не платить выкуп шантажисту, а обращаться в поддержку GitHub, GitLab или Bitbucket, так как, скорее всего, там смогут помочь.

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."

Комментарии (1)

  • credentials.xml также уязвим. Это глобальная проблема юзверей в "password"... Нормальный сисадмин предусмотрит защиту от дурака (сложные пароли). Ленивый - поставит ещё и срок годности паролей. ;)