Egy biztonsági kutató szerint hat vállalkozás megúszta a nagy váltságdíjfizetést az online infrastruktúra alapvető biztonsági rései miatt, amelyeket a ransomware támadók kihasználtak. A ritka győzelem során két szervezet váltságdíj fizetése nélkül kapott visszafejtési kulcsot, négy megcélzott kriptográfiai vállalat pedig figyelmeztetést kapott, mielőtt információikat zárolták.
A biztonsági kutató és az Atropos.ai Vangelis Stykas műszaki igazgató vizsgálatot végzett, hogy felkutassák a több mint 100 zsarolóvírusra és zsarolásra összpontosító szervezet által használt vezérlő és vezérlő szervereket, valamint adatszivárgási helyeket. Célja volt, hogy megtalálja a gyenge pontokat, amelyek feltárják a részleteket ezekről a csoportokról és áldozataikról.
A Las Vegas-i Black Hat biztonsági konferencián tartott előadása előtt Stykas közzé a TechCrunch számára, hogy több kritikus sebezhetőséget talált a legalább három zsarolóvírus-szervezet által használt webes irányítópultokon. Belső működésüket veszélyeztették ezek a gyengeségek. A zsarolóvírus-szervezetek jellemzően a sötét weben működnek, ami megnehezíti az ellopott adatok tárolására és kibertámadások végrehajtására használt tényleges szerverek azonosítását.
A Stykas azonban bejelentkezés nélkül is hozzáférhetett a belső adatokhoz a kódolási hibák és a kiszivárogtatott oldalakon lévő biztonsági lyukak miatt, ahol a zsarolóvírus-bandák lopott anyagokat posztolnak, hogy zsarolják az áldozatokat. Ezek a hibák időnként láthatóvá tették a szerverek IP-címét, esetleg felfedték a tényleges helyüket.
A sérülékenységek közül néhány az volt, hogy a BlackCat ransomware API-végpontjai aktív támadási célpontokat tártak fel, az Everest ransomware szervezet pedig alapértelmezett jelszót használt háttér-SQL adatbázisaihoz és közzétett fájlútvonalaihoz. Ezenkívül Stykas egy insecure direct object reference (IDOR)sebezhetőséggel visszaélve hozzáfért egy Mallox ransomware rendszergazdájának csevegési üzeneteihez. Ott két visszafejtő kulcsot fedezett fel, amelyeket megosztott az érintett cégekkel.
Négy kriptovaluta cég, amelyek közül kettő egyszarvú (több mint 1 milliárd dollár értékű startup), és két apró vállalkozás volt az áldozatok között. Egyik vállalkozás sem ismerte fel hivatalosan a biztonsági problémákat, és Stykas elhallgatta a nevüket.
Bár a váltságdíj kifizetése nem segít azonnal azoknak a cégeknek, amelyeknek vissza kell állítaniuk az adataikhoz való hozzáférést, a hatóságok, például az FBI óva intenek attól, hogy megakadályozzák a kiberbűnözés támogatását. Az eredmények azt mutatják, hogy a ransomware-bandák ugyanolyan alapvető biztonsági hibákkal szembesülnek, mint a nagyvállalatok, így a bűnüldöző szerveknek lehetősége nyílik megcélozni ezeket a bűnözői hackereket. A bűnüldöző szervek különböző mértékű sikereket értek el a ransomware műveletek leállításában és a visszafejtési kulcsok megszerzésében.