Σύμφωνα με έναν ερευνητή ασφάλειας, έξι επιχειρήσεις διέφυγαν από μεγάλες πληρωμές λύτρων λόγω των θεμελιωδών τρυπών ασφαλείας στην ηλεκτρονική υποδομή που εκμεταλλεύτηκαν οι εισβολείς ransomware. Σε μια σπάνια νίκη, δύο οργανισμοί απέκτησαν κλειδιά αποκρυπτογράφησης χωρίς να χρειαστεί να πληρώσουν λύτρα και τέσσερις στοχευμένες επιχειρήσεις κρυπτογράφησης έλαβαν προειδοποιήσεις πριν κλειδωθούν οι πληροφορίες τους.
Ο ερευνητής ασφάλειας και Atropos.ai ΚΟΤ Βαγγέλης Στύκας διενήργησε έρευνα για να βρει διακομιστές εντολών και ελέγχου και τοποθεσίες διαρροής δεδομένων που χρησιμοποιούνται από περισσότερους από 100 οργανισμούς που επικεντρώνονται σε ransomware και εκβιασμούς. Στόχος του ήταν να βρει αδύναμα σημεία που θα αποκάλυπταν λεπτομέρειες για αυτές τις ομάδες και τα θύματά τους.
Πριν από την παρουσίασή του στο συνέδριο ασφαλείας Black Hat στο Λας Βέγκας, ο Στύκας αποκαλύφθηκε στο TechCrunch ότι είχε βρει πολλαπλά κρίσιμα τρωτά σημεία στους πίνακες εργαλείων ιστού που χρησιμοποιούνται από τουλάχιστον τρεις οργανισμούς ransomware. Οι εσωτερικές τους λειτουργίες διακυβεύτηκαν από αυτές τις αδυναμίες. Οι οργανισμοί ransomware λειτουργούν συνήθως στον σκοτεινό ιστό, γεγονός που καθιστά δύσκολο τον εντοπισμό των πραγματικών διακομιστών που χρησιμοποιούνται για την αποθήκευση κλεμμένων δεδομένων και τη διεξαγωγή κυβερνοεπιθέσεων.
Ωστόσο, ο Στύκας μπόρεσε να αποκτήσει πρόσβαση σε εσωτερικά δεδομένα χωρίς να συνδεθεί λόγω σφαλμάτων κωδικοποίησης και τρυπών ασφαλείας στους ιστότοπους διαρροής, όπου συμμορίες ransomware δημοσιεύουν κλεμμένο υλικό για να εκβιάσουν τα θύματα. Αυτά τα ελαττώματα έκαναν περιστασιακά ορατές τις διευθύνσεις IP των διακομιστών, αποκαλύπτοντας πιθανώς τις πραγματικές τοποθεσίες τους.
Μερικά από τα τρωτά σημεία ήταν ότι τα τελικά σημεία API του ransomware BlackCat εξέθεταν στόχους ενεργών επιθέσεων και ο οργανισμός ransomware Everest χρησιμοποίησε έναν προεπιλεγμένο κωδικό πρόσβασης για τις βάσεις δεδομένων SQL του back-end και τις διαδρομές αρχείων. Επιπλέον, ο Stykas απέκτησε πρόσβαση στα μηνύματα συνομιλίας ενός διαχειριστή ransomware Mallox κάνοντας κατάχρηση μιας ευπάθειας insecure direct object reference (IDOR). Εκεί, ανακάλυψε δύο κλειδιά αποκρυπτογράφησης, τα οποία μοιράστηκε με τις επηρεαζόμενες εταιρείες.
Τέσσερις εταιρείες κρυπτονομισμάτων, δύο εκ των οποίων είναι μονόκεροι (startups αξίας άνω του 1 δισεκατομμυρίου δολαρίων) και δύο μικροσκοπικές επιχειρήσεις ήταν μεταξύ των θυμάτων. Καμία από αυτές τις επιχειρήσεις δεν έχει αναγνωρίσει επίσημα τα προβλήματα ασφαλείας και ο Στύκας απέκρυψε τα ονόματά τους.
Αν και η πληρωμή λύτρων δεν βοηθά άμεσα τις εταιρείες που πρέπει να αποκαταστήσουν την πρόσβαση στα δεδομένα τους, αρχές όπως το FBI προειδοποιούν να μην το κάνουν για να αποτρέψουν την υποστήριξη του εγκλήματος στον κυβερνοχώρο. Τα αποτελέσματα υποδεικνύουν ότι οι συμμορίες ransomware είναι επιρρεπείς στα ίδια θεμελιώδη ελαττώματα ασφαλείας με τις μεγάλες εταιρείες, παρέχοντας στις αρχές επιβολής του νόμου πιθανούς τρόπους για να στοχεύσουν αυτούς τους εγκληματίες χάκερ. Οι αρχές επιβολής του νόμου είχαν διάφορους βαθμούς επιτυχίας στη διακοπή των λειτουργιών ransomware και στην απόκτηση κλειδιών αποκρυπτογράφησης.