Segons un investigador de seguretat, sis empreses van escapar de grans pagaments de rescat a causa dels forats de seguretat fonamentals a la infraestructura en línia que van explotar els atacants de ransomware. En una rara victòria, dues organitzacions van obtenir claus de desxifrat sense haver de pagar un rescat, i quatre empreses de cripto objectiu van rebre avisos abans de bloquejar la seva informació.
L'investigador de seguretat i Atropos.ai CTO Vangelis Stykas va dur a terme una investigació per trobar servidors de comandament i control i ubicacions de fuites de dades utilitzades per més de 100 organitzacions de ransomware i extorsió. El seu objectiu era trobar punts febles que revelarien detalls sobre aquests grups i les seves víctimes.
Abans de la seva presentació a la conferència de seguretat Black Hat a Las Vegas, Stykas va divulgar a TechCrunch que havia trobat múltiples vulnerabilitats crítiques als taulers web utilitzats per un mínim de tres organitzacions de ransomware. Les seves operacions internes es van veure compromeses per aquestes debilitats. Les organitzacions de ransomware solen operar a la dark web, la qual cosa fa que sigui difícil identificar els servidors reals que s'utilitzen per emmagatzemar dades robades i dur a terme ciberatacs.
Tanmateix, Stykas va poder accedir a les dades internes sense iniciar sessió a causa d'errors de codificació i forats de seguretat als llocs de fuites, on les bandes de ransomware publiquen material robat per fer xantatge a les víctimes. Aquests defectes de tant en tant feien visibles les adreces IP dels servidors, possiblement revelant les seves ubicacions reals.
Algunes de les vulnerabilitats van ser que els punts finals de l'API del ransomware BlackCat van exposar objectius d'atac actius, i l'organització del ransomware Everest va utilitzar una contrasenya predeterminada per a les seves bases de dades SQL de fons i les rutes de fitxers exposades. A més, Stykas va obtenir accés als missatges de xat d'un administrador de ransomware Mallox abusant d'una vulnerabilitat referència d'objecte directe insegur (IDOR). Allà, va descobrir dues claus de desxifrat, que va compartir amb les empreses afectades.
Quatre empreses de criptomoneda, dues de les quals són unicorns (startups valorades en més de 1.000 milions de dòlars) i dues petites empreses es trobaven entre les víctimes. Cap d'aquestes empreses ha reconegut oficialment els problemes de seguretat i Stykas va retenir els seus noms.
Tot i que el pagament d'un rescat no ajuda immediatament a les empreses que necessiten restaurar l'accés a les seves dades, autoritats com l'FBI adverteixen que no ho fan per evitar el suport a la ciberdelinqüència. Els resultats indiquen que les bandes de ransomware són susceptibles a les mateixes fallades de seguretat fonamentals que les grans corporacions, proporcionant a les forces de l'ordre possibles vies per atacar aquests pirates criminals. Les forces de l'ordre han tingut diferents graus d'èxit per aturar les operacions de ransomware i obtenir claus de desxifrat.