Ifølge en sikkerhedsforsker undslap seks virksomheder store løsepengebetalinger på grund af grundlæggende sikkerhedshuller i online-infrastrukturen, som ransomware-angribere udnyttede. I en sjælden sejr opnåede to organisationer dekrypteringsnøgler uden at skulle betale en løsesum, og fire målrettede kryptovirksomheder modtog advarsler, før deres oplysninger blev låst.
Sikkerhedsforsker og Atropos.ai CTO Vangelis Stykas gennemførte en undersøgelse for at finde kommando- og kontrolservere og datalækagesteder, der bruges af mere end 100 ransomware- og afpresningsfokuserede organisationer. At finde svage punkter, der ville afsløre detaljer om disse grupper og deres ofre, var hans mål.
Forud for sin præsentation på Black Hat-sikkerhedskonferencen i Las Vegas, hjalp Stykas oplyst til TechCrunch, at han havde fundet flere kritiske sårbarheder i web-dashboards, der blev brugt af mindst tre ransomware-organisationer. Deres interne operationer blev kompromitteret af disse svagheder. Ransomware-organisationer opererer typisk på det mørke web, hvilket gør det udfordrende at identificere de faktiske servere, der bruges til at gemme stjålne data og udføre cyberangreb.
Stykas var dog i stand til at få adgang til interne data uden at logge ind på grund af kodefejl og sikkerhedshuller på lækagesiderne, hvor ransomware-bander poster stjålet materiale til afpresning af ofre. Disse fejl gjorde lejlighedsvis servernes IP-adresser synlige, hvilket muligvis afslørede deres faktiske placeringer.
Et par af sårbarhederne var, at BlackCat ransomwares API-endepunkter afslørede aktive angrebsmål, og Everest ransomware-organisationen brugte en standardadgangskode til sine back-end SQL-databaser og udsatte filstier. Derudover fik Stykas adgang til en Mallox ransomware-administrators chatbeskeder ved at misbruge en usikker direkte objektreference (IDOR)sårbarhed. Der opdagede han to dekrypteringsnøgler, som han delte med de berørte firmaer.
Fire cryptocurrency-virksomheder, hvoraf to er enhjørninger (startups til en værdi af over 1 milliard dollars) og to små virksomheder var blandt ofrene. Ingen af disse virksomheder har officielt anerkendt sikkerhedsproblemerne, og Stykas tilbageholdt deres navne.
Selvom betaling af løsesum ikke umiddelbart hjælper virksomheder, der har brug for at genoprette adgang til deres data, advarer myndigheder som FBI mod at gøre det for at forhindre understøttende cyberkriminalitet. Resultaterne indikerer, at ransomware-bander er modtagelige for de samme grundlæggende sikkerhedsbrister som store virksomheder, hvilket giver retshåndhævere potentielle muligheder for at målrette mod disse kriminelle hackere. Retshåndhævelse har haft forskellige grader af succes med at stoppe ransomware-operationer og få dekrypteringsnøgler.