Сайт шифровальщика 8Base слил своего создателя — кодера из Молдавии

Сайт шифровальщика 8Base слил своего создателя — кодера из Молдавии

Сайт шифровальщика 8Base слил своего создателя — кодера из Молдавии

Используя информацию, случайно попавшую в паблик, известный блогер и исследователь Брайан Кребс (Brian Krebs) сумел определить, что часть кода сайта, созданного операторами шифровальщика, написал 36-летний программист, проживающий в Кишиневе.

Кибергруппа, стоящая за 8Base, использует схему двойного вымогательства, требуя выкуп за расшифровку данных и угрожая неплательщикам раскрытием факта взлома. Ее сайт, предназначенный для таких публикаций, доступен через Tor.

Встроенный чат для ведения переговоров использует PHP-фреймворк Laravel и, по свидетельству Кребса, исправно работает при отправке данных на сервер (через POST). Запросы GET до недавнего времени возвращали пространное сообщение об ошибке, раскрывавшее IP-адрес хоста (95.216.51[.]74 в Финляндии), спрятанного с помощью сервисов Tor.

Прокруткой страницы можно было обнаружить ссылку на Gitlab-сервер, выделенный на нужды компании JCube Group. Как оказалось, привязанный репозиторий содержит и другие PHP-коды, используемые сайтом 8Base.

 

Дальнейшие раскопки показали, что Gitlab-аккаунт JCube Group создал разработчик Андрей Колев, проживающий в столице Молдавии. Так, по крайней мере, значится в его профиле на LinkedIn. Там также указана специализация: разработка веб-приложений полного цикла (на стороне клиента и сервера); место работы — JCube Group, адрес и телефон совпадают с контактами, опубликованными на сайте компании.

Все «иксы» Колева (твиты по-старому) написаны на русском языке. Кребс запросил у него комментарий, однако собеседник сказал, что не знает, почему даркнет-сайт 8Base загружает код из папки Clients в его хранилище.

«Такого проекта в моем репозитории нет, — заявил разработчик. — Они [8Base] не являются моими клиентами. В настоящее время мы работаем только по собственным проектам».

Тем не менее предательское сообщение об ошибке на сайте 8Base очень быстро убрали. Вместо него теперь выводится ошибка 405 — «метод HTTP не разрешен». Автор находки, благодаря которой Кребс начал очередное расследование, почти уверен: деанонимизация произошла оттого, что создатель onion-сайта неумышленно оставил режим разработки (забыл отключить средства отладки и тестирования).

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru