Según un investigador de seguridad, seis empresas escaparon de grandes pagos de rescate debido a agujeros de seguridad fundamentales en la infraestructura en línea que explotaron los atacantes de ransomware. En una inusual victoria, dos organizaciones obtuvieron claves de descifrado sin tener que pagar un rescate, y cuatro empresas criptográficas objetivo recibieron advertencias antes de que se bloqueara su información.
El investigador de seguridad y Atropos.ai CTO Vangelis Stykas llevó a cabo una investigación para encontrar servidores de comando y control y ubicaciones de fuga de datos utilizados por más de 100 organizaciones centradas en ransomware y extorsión. Su objetivo era encontrar puntos débiles que revelaran detalles sobre estos grupos y sus víctimas.
Antes de su presentación en la conferencia de seguridad Black Hat en Las Vegas, Stykas divulgado a TechCrunch que había encontrado múltiples vulnerabilidades críticas en los paneles web utilizados por un mínimo de tres organizaciones de ransomware. Sus operaciones internas se vieron comprometidas por estas debilidades. Las organizaciones de ransomware suelen operar en la web oscura, lo que dificulta identificar los servidores reales que se utilizan para almacenar datos robados y llevar a cabo ataques cibernéticos.
Sin embargo, Stykas pudo acceder a los datos internos sin iniciar sesión debido a errores de codificación y agujeros de seguridad en los sitios de filtración, donde las bandas de ransomware publican material robado para chantajear a las víctimas. Estos fallos ocasionalmente hacían visibles las direcciones IP de los servidores, posiblemente revelando sus ubicaciones reales.
Algunas de las vulnerabilidades fueron que los puntos finales API del ransomware BlackCat expusieron objetivos de ataque activos, y la organización de ransomware Everest utilizó una contraseña predeterminada para sus bases de datos SQL back-end y rutas de archivos expuestas. Además, Stykas obtuvo acceso a los mensajes de chat de un administrador de ransomware Mallox abusando de una vulnerabilidad de referencia de objeto directo inseguro (IDOR). Allí, descubrió dos claves de descifrado, que compartió con las empresas afectadas.
Entre las víctimas se encontraban cuatro empresas de criptomonedas, dos de las cuales son unicornios (startups valoradas en más de mil millones de dólares) y dos pequeñas empresas. Ninguna de estas empresas ha reconocido oficialmente los problemas de seguridad y Stykas no ha revelado sus nombres.
Aunque pagar un rescate no ayuda inmediatamente a las empresas que necesitan restablecer el acceso a sus datos, autoridades como el FBI advierten que no lo hagan para evitar respaldar el cibercrimen. Los resultados indican que las bandas de ransomware son susceptibles a los mismos fallos de seguridad fundamentales que las grandes corporaciones, lo que proporciona a las fuerzas del orden vías potenciales para atacar a estos piratas informáticos criminales. Las fuerzas del orden han tenido distintos grados de éxito a la hora de detener las operaciones de ransomware y obtener claves de descifrado.