Ransomware-aanval treft honderenden Git-broncode-opslagplaatsen

Hackers hebben afgelopen vrijdag zeker 392 broncode-opslagplaatsen inclusief recente commits van GitHub-ontwikkelaars verwijderd. Deze zijn vervangen door een losgeldvraag van 0,1 Bitcoin, zo’n 570 dollar. De aanvallen lijken te zijn gecoördineerd tussen de Git-hostingservices GitHub, Bitbucket en GitLab.

De hackers beweren dat alle broncode is gedownload en opgeslagen op een van hun servers. Het slachtoffer heeft tien dagen de tijd om het losgeld te betalen. Bij het uitblijven van een betaling wordt gedreigd de code openbaar te maken. De betaling kan worden gedaan via het Bitcoin-adres ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA, waar ten tijde van publicatie nog geen transactie op heeft plaatsgevonden.

 

 “Om uw verloren code te herstellen en te voorkomen dat deze lekt, stuur ons dan 0.1 Bitcoin (BTC) naar ons Bitcoin-adres ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA en neem per e-mail contact op met admin@gitsbackup.com met uw Git-login en een bewijs van betaling. Als u niet zeker weet of we uw gegevens hebben, neem dan contact met ons op en wij sturen u een bewijs. Uw code wordt gedownload en als backup opgeslagen op onze servers. Als we uw betaling in de komende 10 dagen niet ontvangen, maken we uw code openbaar of gebruiken we deze op een andere manier”

 

Sinds afgelopen vrijdag zijn er minstens 27 misbruik-rapporten opgesteld, die allen dezelfde losgeldbrief bevatten, aldus BitcoinAbuse. Mede hierom suggereert de website – die Bitcoin-adressen bijhoudt, die worden gebruikt voor verdachte activiteiten  – dan ook dat het Bitcoin-adres wordt gebruikt in een gecoördineerde aanval gericht op Git-accounts.

Zwakke wachtwoorden en oude toegangstokens

Sommige slachtoffers hebben volgens ZDnet toegegeven zwakke wachtwoorden te gebruiken voor hun GitHub-, GitLab- en Bitbucket-accounts. Bovendien zouden ze zijn vergeten toegangstokens te verwijderen voor oude apps die ze al maanden niet meer gebruiken. Beide zeer gangbare fouten, die online accounts blootstellen aan dit soort aanvallen. Gegevens zouden er dan ook op wijzen dat de aanvaller het hele internet heeft gescand op Git-configuratiebestanden en geëxtraheerde inloggegevens. Vervolgens zouden deze logins zijn gebruikt om toegang te krijgen tot Git-hostingservices en deze te gijzelen.

“We hebben de bron geïdentificeerd op basis van een support-ticket, zoals vrijdag ingediend door Stefan Gabos op StackExchange. We zijn meteen begonnen met het onderzoeken van het probleem. We hebben getroffen gebruikersaccounts geïdentificeerd en al deze gebruikers zijn op de hoogte gebracht. Als resultaat van ons onderzoek hebben we sterk bewijs dat de gecompromitteerde accounts accountwachtwoorden hebben, die in leesbare tekst worden opgeslagen bij een implementatie van een gerelateerde repository.

We moedigen het gebruik van wachtwoordbeheertools ten zeerste aan om wachtwoorden veiliger op te slaan en waar mogelijk tweestaps-authenticatie mogelijk te maken. Beide zouden dit probleem hebben voorkomen”, aldus Kathy Wang, directeur beveiliging voor GitLab.

Herstel mogelijk

Atlassian, eigenaar van Bitbucket, zou inmiddels klanten informeren tot wiens account de hackers onrechtmatige toegang hebben gekregen. Daarnaast zou het bedrijf ook accounts informeren, die niet getroffen zijn, maar waar wel sprake zou zijn van falende inlogpogingen.

Leden van het StackExchange Security-forum hebben ontdekt dat de hackers niet daadwerkelijk Git-commit-headers hebben verwijderd, maar deze slechts hebben veranderd. Dit betekent dat code-commits in sommige gevallen hersteld kunnen worden. Ook wordt er ten strengste geadviseerd eerst contact op te nemen met ondersteuningsteams van GitHub, GitLab of Bitbucket alvorens losgeld te betalen. Er zouden manieren kunnen zijn om verwijderde repo’s te herstellen.

 

Lees ook: PayPal ontwikkelt techniek om ransomware-aanvallen te detecteren