Selon un chercheur en sécurité, six entreprises ont échappé au paiement d’importantes rançons en raison de failles de sécurité fondamentales dans l’infrastructure en ligne exploitées par des attaquants de ransomware. Dans une victoire rare, deux organisations ont obtenu des clés de déchiffrement sans avoir à payer de rançon, et quatre entreprises de cryptographie ciblées ont reçu des avertissements avant que leurs informations ne soient verrouillées.
Le chercheur en sécurité et Atropos.ai CTO Vangelis Stykas a mené une enquête pour trouver des serveurs de commande et de contrôle et des emplacements de fuite de données utilisés par plus de 100 organisations axées sur les ransomwares et l'extorsion. Son objectif était de trouver les points faibles qui révéleraient des détails sur ces groupes et leurs victimes.
Avant sa présentation à la conférence sur la sécurité Black Hat à Las Vegas, Stykas divulgué à TechCrunch qu'il avait trouvé plusieurs vulnérabilités critiques dans les tableaux de bord Web utilisés par au moins trois organisations de ransomware. Leurs opérations internes étaient compromises par ces faiblesses. Les organisations de ransomware opèrent généralement sur le dark web, ce qui rend difficile l'identification des serveurs réels utilisés pour stocker les données volées et mener des cyberattaques.
Cependant, Stykas a pu accéder aux données internes sans se connecter en raison d'erreurs de codage et de failles de sécurité dans les sites de fuite, où les gangs de ransomware publient du matériel volé pour faire chanter les victimes. Ces failles rendaient parfois visibles les adresses IP des serveurs, révélant éventuellement leur emplacement réel.
Quelques-unes des vulnérabilités étaient que les points de terminaison de l'API du ransomware BlackCat exposaient des cibles d'attaque actives, et que l'organisation du ransomware Everest utilisait un mot de passe par défaut pour ses bases de données SQL principales et ses chemins de fichiers exposés. De plus, Stykas a eu accès aux messages de discussion d'un administrateur du ransomware Mallox en abusant d'une vulnérabilité de référence d'objet direct non sécurisée (IDOR). Là, il a découvert deux clés de décryptage, qu’il a partagées avec les entreprises concernées.
Quatre sociétés de cryptomonnaies, dont deux licornes (start-ups évaluées à plus d’un milliard de dollars) et deux petites entreprises figuraient parmi les victimes. Aucune de ces entreprises n'a officiellement reconnu les problèmes de sécurité et Stykas a caché leurs noms.
Même si le paiement d’une rançon n’aide pas immédiatement les entreprises qui ont besoin de rétablir l’accès à leurs données, des autorités telles que le FBI mettent en garde contre cette pratique afin d’éviter de soutenir la cybercriminalité. Les résultats indiquent que les gangs de ransomwares sont sensibles aux mêmes failles de sécurité fondamentales que les grandes entreprises, offrant ainsi aux forces de l’ordre des moyens potentiels de cibler ces pirates criminels. Les forces de l’ordre ont connu plus ou moins de succès dans l’arrêt des opérations de ransomware et l’obtention de clés de décryptage.