Einem Sicherheitsforscher zufolge entgingen sechs Unternehmen großen Lösegeldzahlungen, weil die Online-Infrastruktur grundlegende Sicherheitslücken hatte, die Ransomware-Angreifer ausnutzten. In einem seltenen Sieg erlangten zwei Organisationen Entschlüsselungsschlüssel, ohne ein Lösegeld zahlen zu müssen, und vier angegriffene Krypto-Unternehmen erhielten Warnungen, bevor ihre Informationen gesperrt wurden.
Der Sicherheitsforscher und Atropos.ai CTO Vangelis Stykas führte eine Untersuchung durch, um Command-and-Control-Server und Speicherorte für Datenlecks zu finden, die von mehr als 100 auf Ransomware und Erpressung ausgerichteten Organisationen genutzt werden. Sein Ziel war es, Schwachstellen zu finden, die Aufschluss über diese Gruppen und ihre Opfer geben würden.
Vor seinem Vortrag auf der Black Hat-Sicherheitskonferenz in Las Vegas hat Stykas gegenüber TechCrunch offengelegt, dass er mehrere kritische Schwachstellen in den Web-Dashboards gefunden hatte, die von mindestens drei Ransomware-Organisationen genutzt wurden. Ihre internen Abläufe wurden durch diese Schwächen beeinträchtigt. Ransomware-Organisationen operieren typischerweise im Dark Web, was es schwierig macht, die tatsächlichen Server zu identifizieren, die zum Speichern gestohlener Daten und zur Durchführung von Cyberangriffen verwendet werden.
Aufgrund von Codierungsfehlern und Sicherheitslücken auf den Leak-Sites, auf denen Ransomware-Banden gestohlenes Material veröffentlichen, um Opfer zu erpressen, konnte Stykas jedoch ohne Anmeldung auf interne Daten zugreifen. Diese Schwachstellen machten gelegentlich die IP-Adressen der Server sichtbar und gaben möglicherweise deren tatsächliche Standorte preis.
Einige der Schwachstellen bestanden darin, dass die API-Endpunkte der BlackCat-Ransomware aktive Angriffsziele offenlegten und die Everest-Ransomware-Organisation ein Standardkennwort für ihre Back-End-SQL-Datenbanken und offengelegten Dateipfade verwendete. Darüber hinaus verschaffte sich Stykas Zugang zu den Chat-Nachrichten eines Mallox-Ransomware-Administrators, indem er eine unsichere direkte Objektreferenz (IDOR)-Schwachstelle ausnutzte. Dort entdeckte er zwei Entschlüsselungsschlüssel, die er den betroffenen Firmen mitteilte.
Unter den Opfern waren vier Kryptowährungsunternehmen, darunter zwei Einhörner (Startups mit einem Wert von über 1 Milliarde US-Dollar) und zwei Kleinunternehmen. Keines dieser Unternehmen hat die Sicherheitsprobleme offiziell anerkannt und Stykas hat ihre Namen zurückgehalten.
Obwohl die Zahlung eines Lösegelds Unternehmen, die den Zugriff auf ihre Daten wiederherstellen müssen, nicht sofort hilft, warnen Behörden wie das FBI davor, dies zu tun, um die Unterstützung von Cyberkriminalität zu verhindern. Die Ergebnisse deuten darauf hin, dass Ransomware-Banden denselben grundlegenden Sicherheitslücken unterliegen wie große Unternehmen, was den Strafverfolgungsbehörden potenzielle Möglichkeiten bietet, diese kriminellen Hacker ins Visier zu nehmen. Die Strafverfolgungsbehörden waren unterschiedlich erfolgreich darin, Ransomware-Operationen zu stoppen und Entschlüsselungsschlüssel zu beschaffen.