Das Geschäft mit der Erpressung floriert im Internet seit geraumer Zeit – eine neue Masche trifft nun Entwickler, bei denen das öffentlichen Git-Repository gelöscht wird. Zurück bleibt nur eine Notiz mit dem Wallet, auf das ca. 0,1 Bitcoins überwiesen werden sollen um wieder an die Daten zu gelangen. Ganz unschuldig sind die Entwickler nicht. Da die meisten Entwickler ein lokales Repository haben, hält sich der Schaden in Grenzen. Interessant und kritisch zu gleich ist die Attacke trotzdem.
Zwei-Faktor-Auth hätte Erpressungswelle verhindert
Dreh- und Angelpunkt des Angriffs sind, wie so oft, die Zugangsdaten. Anfangs wurde spekuliert ob die Daten erraten wurden – also mit einer Brute-Force Attacke vorgegangen ist. Dieser Verdacht hat sich jedoch schnell erledigt. Nach kurzer Recherche hat sich herausgestellt, dass die Zugangsdaten selber hochgeladen worden sind. Die Angreifer konnten sich die Zugangsdaten im Klartext aus der ./git/config herunterladen. Aus Bequemlichkeit und Unachtsamkeit geht man diesen Schritt. Grundsätzlich spricht gegen das Anlegen einer solchen Datei auch nichts – nur sollte diese natürlich nicht den Weg in das öffentliche Git-Repository finden.
Als zusätzliche Sicherheit sollte die Zwei-Faktor-Authentifizierung aktiviert werden. Diese bietet zwar auch keine 100%ige Sicherheit – vermeidet aber die Ausnutzung solcher Flüchtigkeitsfehler. Mittlerweile bieten alle größeren Codehoster, wie z.B. GitLab, diesen Service an.
Bitcoin zahlen – sonst bleibt das Git-Repository gelöscht!
Nachdem Angreifer sich erfolgreich in den Account eingeloggt haben, wurden die Daten gelöscht. Kaum war das Git-Repository gelöscht, verbleibt nur eine kurze Mitteilung. Dort werden die Entwickler erpresst. Die Angreifer wollen 0,1 Bitcoin haben – und zwar innerhalb von 10 Tagen. Falls der Entwickler der Aufforderung nicht nachkommt, werden die Daten endgültig gelöscht. Der Angreifer behauptet nämlich, dass er sich eine Kopie des Repos gezogen hat. Hat der Entwickler kein lokales Repository, wirds eng. Wer eine vollständige Kopie des Repositorys hat, kann es mit folgendem Befehl wiederherstellen:
git push origin HEAD:master --force
Betroffen sind private, kostenfreie Repositorys. GitLab bietet für kommezielle Kunden einen Service an, der vor Credentials im Repository warnt.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Eine Erinnerung an die, die nicht an einen Angriff geglaubt haben
Die leichteste Beute sind die, die sich nicht als Beute sehen. So auch in diesem Fall. Für die Allgemeinheit sind öffentliche Repositorys eine wichtige Anlaufstelle. Oft herrscht die Vermutung, dass man für einen Angriff schlichtweg nicht interessant ist. Dieser Vorfall beweist das Gegenteil. Am Ende des Tages ist das jedoch gut für alle.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
