Tietoturvatutkijan mukaan kuusi yritystä välttyi suurilta lunnailta, koska verkkoinfrastruktuurissa oli perustavanlaatuisia tietoturva-aukkoja, joita lunnasohjelmahyökkääjät käyttivät hyväkseen. Harvinaisessa voitossa kaksi organisaatiota sai salauksen purkuavaimet maksamatta lunnaita, ja neljä kohdentunutta kryptoyritystä sai varoituksen ennen tietojen lukitsemista.
Tietoturvatutkija ja Atropos.ai teknologiajohtaja Vangelis Stykas tekivät tutkimuksen löytääkseen komento- ja ohjauspalvelimia sekä tietovuotojen paikkoja, joita yli 100 kiristykseen keskittyvää organisaatiota käyttää. Hänen tavoitteenaan oli löytää heikkoja kohtia, jotka paljastaisivat yksityiskohtia näistä ryhmistä ja niiden uhreista.
Ennen esitystään Black Hat -tietoturvakonferenssissa Las Vegasissa Stykas paljasti TechCrunchille, että hän oli löytänyt useita kriittisiä haavoittuvuuksia web-hallintapaneeleista, joita käytti vähintään kolme ransomware-organisaatiota. Nämä heikkoudet vaaransivat heidän sisäisen toiminnan. Ransomware-organisaatiot toimivat yleensä pimeässä verkossa, minkä vuoksi on haastavaa tunnistaa varsinaiset palvelimet, joita käytetään varastettujen tietojen tallentamiseen ja kyberhyökkäyksiin.
Stykas pääsi kuitenkin käsiksi sisäisiin tietoihin kirjautumatta sisään koodausvirheiden ja tietoturva-aukkojen vuoksi vuotosivustoilla, joille ransomware-jengit postaisivat varastettua materiaalia kiristääkseen uhreja. Nämä puutteet tekivät toisinaan palvelimien IP-osoitteet näkyville ja mahdollisesti paljastavat niiden todellisen sijainnin.
Muutamia haavoittuvuuksia olivat se, että BlackCat ransomwaren API-päätepisteet paljastivat aktiiviset hyökkäyskohteet, ja Everest ransomware -organisaatio käytti oletussalasanaa SQL-taustatietokantoilleen ja paljastui tiedostopoluille. Lisäksi Stykas sai pääsyn Mallox lunnasohjelman järjestelmänvalvojan chat-viesteihin väärinkäyttäen insecure direct object reference (IDOR)haavoittuvuutta. Siellä hän löysi kaksi salauksen purkuavainta, jotka hän jakoi asianomaisten yritysten kanssa.
Uhrien joukossa oli neljä kryptovaluuttayritystä, joista kaksi on yksisarvisia (startuppeja, joiden arvo on yli miljardi dollaria) ja kaksi pientä yritystä. Mikään näistä yrityksistä ei ole virallisesti tunnistanut tietoturvaongelmia, ja Stykas salasi heidän nimensä.
Vaikka lunnaiden maksaminen ei auta välittömästi yrityksiä, joiden on palautettava pääsy tietoihinsa, viranomaiset, kuten FBI, varoittavat tekemästä niin estääkseen kyberrikollisuuden tukemisen. Tulokset osoittavat, että ransomware-jengit ovat alttiita samoille perustavanlaatuisille tietoturvapuutteille kuin suuret yritykset, mikä tarjoaa lainvalvontaviranomaisille mahdollisia keinoja kohdistaa näitä rikollisia hakkereita. Lainvalvontaviranomaiset ovat onnistuneet eriasteisesti pysäyttämään kiristyshaittaohjelmien toiminnan ja hankkimaan salauksenpurkuavaimia.