Ayon sa isang security researcher, anim na negosyo ang nakatakas sa malalaking pagbabayad ng ransom dahil sa mga pangunahing butas sa seguridad sa online na imprastraktura na pinagsamantalahan ng mga umaatake ng ransomware. Sa isang pambihirang tagumpay, dalawang organisasyon ang nakakuha ng mga decryption key nang hindi kinakailangang magbayad ng ransom, at apat na target na crypto enterprise ang nakatanggap ng mga babala bago ang kanilang impormasyon ay mai-lock.
Ang tagapagpananaliksik ng seguridad at Atropos.ai CTO Vangelis Stykas ay nagsagawa ng pagsisiyasat upang mahanap ang mga command at control server at mga lokasyon ng pagtagas ng data na ginagamit ng higit sa 100 ransomware at mga organisasyong nakatuon sa pangingikil. Ang paghahanap ng mga mahihinang punto na magbubunyag ng mga detalye tungkol sa mga grupong ito at sa kanilang mga biktima ang kanyang layunin.
Bago ang kanyang presentasyon sa Black Hat security conference sa Las Vegas, si Stykas ibinunyag sa TechCrunch na nakakita siya ng maraming kritikal na kahinaan sa mga dashboard ng web na ginagamit ng hindi bababa sa tatlong organisasyon ng ransomware. Ang kanilang mga panloob na operasyon ay nakompromiso ng mga kahinaang ito. Ang mga organisasyon ng ransomware ay karaniwang tumatakbo sa dark web, na ginagawang mahirap na tukuyin ang mga aktwal na server na ginagamit upang mag-imbak ng mga ninakaw na data at magsagawa ng mga cyberattack.
Gayunpaman, na-access ng Stykas ang panloob na data nang hindi nagla-log in dahil sa mga pagkakamali sa pag-coding at mga butas sa seguridad sa mga leak na site, kung saan ang mga ransomware gang ay nagpo-post ng mga ninakaw na materyal upang i-blackmail ang mga biktima. Ang mga kapintasan na ito ay paminsan-minsang naging dahilan upang makita ang mga IP address ng mga server, posibleng ibunyag ang kanilang aktwal na mga lokasyon.
Ang ilan sa mga kahinaan ay ang paglantad ng mga endpoint ng API ng BlackCat ransomware ng mga aktibong target ng pag-atake, at ang organisasyon ng Everest ransomware ay gumamit ng default na password para sa back-end na mga database ng SQL at nakalantad na mga landas ng file nito. Bukod pa rito, nakakuha ang Stykas ng access sa mga mensahe sa chat ng administrator ng Mallox ransomware sa pamamagitan ng pag-abuso sa isang insecure direct object reference (IDOR) kahinaan. Doon, natuklasan niya ang dalawang decryption key, na ibinahagi niya sa mga naapektuhang kumpanya.
Apat na kumpanya ng cryptocurrency, dalawa sa mga ito ay mga unicorn (mga startup na nagkakahalaga ng higit sa $1 bilyon) at dalawang maliliit na negosyo ang kabilang sa mga biktima. Wala sa mga negosyong ito ang opisyal na nakakilala sa mga problema sa seguridad, at itinago ng Stykas ang kanilang mga pangalan.
Bagama't hindi agad nakakatulong ang pagbabayad ng ransom sa mga kumpanyang kailangang ibalik ang access sa kanilang data, nagbabala ang mga awtoridad gaya ng FBI laban sa paggawa nito upang maiwasan ang pagsuporta sa cybercrime. Isinasaad ng mga resulta na ang mga ransomware gang ay madaling kapitan ng parehong pangunahing mga bahid sa seguridad gaya ng mga pangunahing korporasyon, na nagbibigay sa pagpapatupad ng batas ng mga potensyal na paraan upang i-target ang mga kriminal na hacker na ito. Ang pagpapatupad ng batas ay nagkaroon ng iba't ibang antas ng tagumpay sa pagpapahinto sa mga operasyon ng ransomware at pagkuha ng mga decryption key.