Saldırganlar GitHub depolarını hedefliyor, içeriğini silmiyor ve kurbanlardan daha fazla bilgi için Telegram'a ulaşmalarını istiyor.
Bu saldırılar, Çarşamba günü ilk kez Chilean Siber Güvenlik Şirketi Cronup'un güvenlik araştırmacısı Germán Fernández tarafından görülen devam eden bir kampanyaya benzeyen şeyin bir parçası.
Gitloker'ın telgraf üzerinde tutumu olan ve siber bir olay analisti olarak poz veren bu kampanyanın arkasındaki tehdit oyuncusu muhtemelen çalınan kimlik bilgilerini kullanarak hedeflerin GitHub hesaplarından ödün veriyor.
Daha sonra, kurbanların verilerini çaldığını iddia ederler ve silinen verilerin geri yüklenmesine yardımcı olabilecek bir yedekleme oluştururlar. Daha sonra depoyu yeniden adlandırırlar ve kurbanlara telgrafa ulaşmaları için talimat veren tek bir ReadMe.me dosyası eklerler.
Ransom, "Umarım bu mesaj sizi iyi bulur. Bu, verilerinizin tehlikeye atıldığını bildirmek için acil bir bildirimdir ve bir yedekleme sağladık."
BleepingComputer, Gitloker gasp kampanyasıyla ilgili daha fazla ayrıntı için bugün Github ile temasa geçtiğinde, bir sözcü hemen yorum yapmak için mevcut değildi.
Github kullanıcılarına yönelik önceki saldırılardan sonra şirket, kullanıcılara hesaplarını yetkisiz erişime karşı güvence altına almak için şifrelerini değiştirmelerini tavsiye etti. Bu, yeni SSH tuşları ekleme, yeni uygulamalar yetkilendirme veya ekip üyelerini değiştirme gibi kötü niyetli eylemlere karşı korumalıdır.
Saldırganların GitHub hesabınızdan ödün vermesini ve şüpheli etkinlikleri tespit etmesini önlemek için:
Github hesapları, kullanıcıların özel depolarından veri çalmaktan ilk kez tehlikeye atılmamıştır.
Mart 2020 civarında, hackerlar Haziran 2018'den bu yana geliştirici platformunun ana şirketi Microsoft'un hesabını da tehlikeye attı ve Redmond'un özel depolarından 500GB'dan fazla dosya çaldı.
Çalınan dosyalar çoğunlukla kod örnekleri, test projeleri ve diğer jenerik öğeler içeriyor olsa da (Microsoft'un endişelenmesi için önemli bir şey yok), güvenlik uzmanları özel API anahtarlarının veya şifrelerin de yanlışlıkla ihlalde ortaya çıkmış olabileceğinden endişe ediyordu.
Shinyhunters olarak bilinen şu anda belirgin bir tehdit aktörü, çalınan verilerin en yüksek teklif sahibine satmayı planladıktan sonra, çalınan verilerin önemsiz doğasını ücretsiz olarak bir hacker forumuna sızdırarak doğruladı.
Eylül 2020'de Github, kullanıcıları hesaplarını tehlikeye atmayı hedefleyen bir kimlik avı kampanyası konusunda uyardı. Kampanya, GitHub kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını, ters vekiller aracılığıyla aktararak çalmak için sahte Circleci bildirimlerini iten e-postaları kullandı.
Github, saldırganların, uzlaşmadan sonra mağdurların özel depolarından verileri neredeyse anımsatmaya başladığını ve yönetim izinlerini kullandığında kalıcılığı korumak için kuruluşlara yeni kullanıcı hesapları eklediğini söyledi.
New York Times Kaynak Kodu Tarihli Github jetonu kullanarak çalındı
Fidye yazılımı ödemeleri, çeyrekte% 28'lik düşük rekor kırmak için düşüyor
Christie's, müşterileri RansomHub veri ihlali bildirmeye başlar
Christie’nin Ransomhub'dan sonra ihlalini teyit ediyor.
Github, Enterprise Server'daki SAML Auth Bypass kusurunu uyarıyor
Kaynak: Bleeping Computer