Преступник удаляет исходный код, а на его месте оставляет сообщение с требованием выкупа в размере 0,1 биткоина (на сегодняшний день около $570) в десятидневный срок. В противном случае код будет опубликован.
Первые сообщения об атаках появились 4 мая. Точная их схема пока не установлена. Вероятнее всего координация происходит через хостинг-сервисы Git: GitHub, GitLab, Bitbucker.
Ресурс BitcoinAbuse.com, занимающийся отслеживанием неблагонадёжных биткоин-адресов, сообщил, что за последние сутки появилось 27 отчётов с посланием хакера. Тот заверяет, что весь код будет сохранён на сервере до момента поступления требуемой суммы.
Есть мнение, что хакер просканировал сеть на предмет поиска файлов конфигурации Git, за чем и последовала кража учётных данных владельцев аккаунтов. Также было высказано предположение, что преступник не удаляет код, а лишь меняет заголовки Git-коммитов, что означает, некоторые пользователи могут попробовать восстановить пропавший код.
Кэти Ванг, директор по безопасности GitLab заявила, что расследование началось с поступлением первой же жалобы пользователя. Также были разосланы предупреждения всем, чьи учётные записи были взломаны (их удалось идентифицировать в ходе расследования).
Некоторая часть пострадавших отметила, что использовали пароли низкой степени надёжности, пренебрегали двухфакторной идентификацией и не удаляли токены доступа в приложениях, которые давно не использовали.