jueves, 16 de mayo de 2019

GitRansom, secuentran archivos de repositorios GitHub, Bitbucket y GitLab

Los servicios de alojamiento como GitHub, Bitbucket y GitLab están bajo ataque de ransomware, donde cientos de repositorios de código fuente de GIT han sido eliminados o reemplazados por una demanda de rescate por parte de los atacantes.


Los delincuentes han lanzado un ataque coordinado a través de múltiples plataformas de repositorio GIT. No está claro cómo se llevó a cabo este nivel de ataque, pero una “nota de rescate” solicita un pago de 0.1 Bitcoin (alrededor de U$S 570) a cambio de liberar el código fuente “secuestrado”.



Por ahora se sabe que el ataque comenzó ayer y que eliminaron todo el código fuente y las confirmaciones recientes de los repositorios de GIT de las víctimas y dejaron las notas de rescate.


La nota también dice que todo el código fuente ha sido descargado y guardado en uno de sus servidores. Las víctimas del ataque de rescate de GIT supuestamente tienen diez días para pagar el rescate, de lo contrario, los delincuentes harán público el código o lo usarán como les parezca.


El pago del rescate se solicita en distintas direcciones de Bitcoin y hasta el momento (por ejemplo esta billetera), se han registrado pocas transacciones aunque el recuento de víctimas está aumentando. Al realizar una búsqueda en GitHub revela que al menos 387 repositorios han sido comprometidos hasta el momento.


Algunos usuarios que fueron víctimas de este ataque admitieron usar contraseñas débiles en sus cuentas de GitHub, GitLab y Bitbucket. Algunos incluso se olvidaron de eliminar tokens de acceso para aplicaciones antiguas no utilizadas. Ambas son formas comunes a través de las cuales las cuentas se comprometen en línea.


Al parece los delincuentes hicieron un extenso escaneo de Internet para encontrar archivos de configuración de GIT, extrajeron credenciales y las utilizaron para acceder a las cuentas afectadas.


En medio de este lío, la buena noticia es que la gente del foro StackExchange Security ha descubierto que los delincuentes no eliminan los códigos. Simplemente alteran los encabezados de confirmación de GIT, esto significa que las confirmaciones de código se pueden recuperar, en algunos casos, si no todos.


Ya hay instrucciones sobre cómo recuperar los repositorios de GIT secuestrados. Si usted es una de las víctimas, recomendamos que se ponga en contacto con los equipos de soporte de su servicio de alojamiento de GIT antes de pagar cualquier demanda de rescate, ya que podría haber otras formas de recuperar los repositorios de GIT eliminados.


Fuente: FossBytes


No hay comentarios: