Quem não se lembra de ataques a empresas ransomware? Neste tipo de ataques é bloqueado acesso a um serviço até que seja feito um pagamento, ou seja, o serviço fica refém.

Recentemente ocorreu este tipo ataque um número elevado de contas de GitHub, GitLab e BitBucket. O atacante tem apagado o código de repositórios alvo e substituído por uma mensagem em que pede um valor em Bitcoins. Se a vitima não pagar, o código privado é publicado. Abaixo um exemplo traduzido da mensagem de resgate:

Para recuperar o seu código e evitar publicação: Envie-nos 0.1 Bitcoin (BTC) para a o nosso endereço Bitcoin 1ES14c7***** e contacte-nos para o e-mail admin[at]gitsbackup[dot]com com o login Git e prova de pagamento. Se não tiver certeza que temos os seus dados, contacte-nos para enviar-mos uma prova. O seu código está guardado nos nossos servidores. Se não recebermos o pagamento dentro dos próximos 10 dias, vamos tornar o código público ou utiliza-lo de outra forma.

Uma pesquisa do GitHub revelou que pelo menos 392 repositórios no foram comprometidos.

A directora do GitLab, Kathy Wang, notou que os repositórios comprometidos têm graves problemas de segurança:

Identificamos as contas dos utilizadores afectados e todos os utilizadores foram notificados. Como resultado da nossa investigação, temos fortes evidencias que as contas comprometidas têm passwords guardadas em texto limpo num dos repositórios. Encorajamos fortemente a utilização de ferramentas de gestão de passwords para guardar passwords de forma mais segura, e activar autenticação de dois factores sempre que possível, o que impediria este problema.

Pois é, na maior parte dos casos o problema está sempre entre a cadeira e o teclado. Neste caso os utilizadores não seguiram normas simples e conhecidas de segurança.

Felizmente o atacante até nem era muito bom de destruidor de repositórios. O atacante não tem exactamente eliminado os repositórios, o que tem feito é alterar o repositório de forma a que pareça que eliminou e portanto é possível recuperar o código todo. Além disso parece ser um ataque em massa e que o atacante não tem código nenhum. Ainda assim deve ter sido um bom susto para as vitimas que provavelmente vão levar segurança mais a sério.