Segundo un investigador de seguridade, seis empresas escaparon de grandes pagos de rescate por mor de buracos fundamentais de seguridade na infraestrutura en liña que explotaron os atacantes de ransomware. Nunha vitoria rara, dúas organizacións obtiveron claves de descifrado sen ter que pagar un rescate e catro empresas criptográficas dirixidas recibiron avisos antes de que a súa información fose bloqueada.
O investigador de seguridade e Atropos.ai CTO Vangelis Stykas levou a cabo unha investigación para atopar servidores de mando e control e localizacións de fuga de datos utilizados por máis de 100 organizacións centradas en ransomware e extorsión. O seu obxectivo era atopar puntos débiles que revelasen detalles sobre estes grupos e as súas vítimas.
Antes da súa presentación na conferencia de seguridade de Black Hat en Las Vegas, Stykas revelou a TechCrunch que atopara varias vulnerabilidades críticas nos paneis web utilizados por un mínimo de tres organizacións de ransomware. As súas operacións internas víronse comprometidas por estas debilidades. As organizacións de ransomware adoitan operar na web escura, o que dificulta identificar os servidores reais que se utilizan para almacenar datos roubados e realizar ciberataques.
Non obstante, Stykas puido acceder aos datos internos sen iniciar sesión por mor de erros de codificación e buracos de seguridade nos sitios de filtración, onde as bandas de ransomware publican material roubado para chantaxear ás vítimas. Estes fallos ocasionalmente facían visibles os enderezos IP dos servidores, posiblemente revelando as súas localizacións reais.
Algunhas das vulnerabilidades foron que os puntos finais da API do ransomware BlackCat expuxeron obxectivos de ataque activos, e a organización de ransomware Everest utilizou un contrasinal predeterminado para as súas bases de datos SQL de fondo e as rutas de ficheiros expostas. Ademais, Stykas obtivo acceso ás mensaxes de chat dun administrador de ransomware Mallox abusando dunha vulnerabilidade referencia de obxecto directo inseguro (IDOR). Alí, descubriu dúas claves de descifrado, que compartiu coas empresas afectadas.
Entre as vítimas estaban catro empresas de criptomonedas, dúas das cales son unicornios (startups valoradas en máis de 1.000 millóns de dólares) e dúas pequenas empresas. Ningunha destas empresas recoñeceu oficialmente os problemas de seguridade, e Stykas ocupou os seus nomes.
Aínda que pagar un rescate non axuda de inmediato ás empresas que necesitan restaurar o acceso aos seus datos, autoridades como o FBI advirten contra facelo para evitar o apoio ao cibercrimen. Os resultados indican que as bandas de ransomware son susceptibles aos mesmos fallos fundamentais de seguridade que as grandes corporacións, o que proporciona ás forzas da lei posibles vías para dirixirse a estes hackers criminais. A aplicación da lei tivo diversos graos de éxito para deter as operacións de ransomware e obter claves de descifrado.