Podle bezpečnostního výzkumníka šest podniků uniklo velkému výkupnému kvůli zásadním bezpečnostním dírám v online infrastruktuře, které útočníci ransomwaru zneužívali. Ve vzácném vítězství dvě organizace získaly dešifrovací klíče, aniž by musely platit výkupné, a čtyři cílené kryptopodniky obdržely varování před uzamčením jejich informací.
Bezpečnostní výzkumník a Atropos.ai technický ředitel Vangelis Stykas provedl vyšetřování s cílem najít servery pro velení a řízení a místa úniku dat, které využívá více než 100 organizací zaměřených na ransomware a vydírání. Jeho cílem bylo najít slabá místa, která by odhalila podrobnosti o těchto skupinách a jejich obětech.
Před svou prezentací na bezpečnostní konferenci Black Hat v Las Vegas Stykas zveřejněno TechCrunch, že našel několik kritických zranitelností ve webových řídicích panelech používaných minimálně třemi ransomwarovými organizacemi. Jejich vnitřní operace byly těmito slabinami ohroženy. Ransomwarové organizace obvykle působí na temném webu, což ztěžuje identifikaci skutečných serverů, které se používají k ukládání odcizených dat a provádění kybernetických útoků.
Stykas však mohl přistupovat k interním datům bez přihlášení kvůli chybám v kódování a bezpečnostním dírám na místech úniku, kde gangy ransomwaru zveřejňují ukradené materiály, aby oběti vydíraly. Tyto chyby občas zviditelnily IP adresy serverů a možná odhalily jejich skutečné umístění.
Několik zranitelností spočívalo v tom, že koncové body API ransomwaru BlackCat odhalily aktivní cíle útoku a organizace ransomwaru Everest používala výchozí heslo pro své back-end databáze SQL a odkryl cesty k souborům. Stykas navíc získal přístup k chatovým zprávám správce ransomwaru Mallox zneužitím zranitelnosti nezabezpečený přímý objektový odkaz (IDOR). Tam objevil dva dešifrovací klíče, které sdílel s dotčenými firmami.
Mezi oběťmi byly čtyři kryptoměnové společnosti, z nichž dvě jsou jednorožci (startupy v hodnotě přes 1 miliardu dolarů) a dva malé podniky. Žádný z těchto podniků oficiálně neuznal bezpečnostní problémy a Stykas jejich jména zatajil.
Přestože zaplacení výkupného nepomůže okamžitě firmám, které potřebují obnovit přístup ke svým datům, úřady jako FBI před tím varují, aby se zabránilo podpoře kybernetické kriminality. Výsledky naznačují, že ransomwarové gangy jsou náchylné ke stejným základním bezpečnostním chybám jako velké korporace, což poskytuje orgánům činným v trestním řízení potenciální možnosti, jak se na tyto kriminální hackery zaměřit. Při zastavování operací ransomwaru a získávání dešifrovacích klíčů dosáhly orgány činné v trestním řízení různou míru úspěšnosti.