Menurut seorang peneliti keamanan, enam bisnis lolos dari pembayaran uang tebusan dalam jumlah besar karena lubang keamanan mendasar pada infrastruktur online yang dieksploitasi oleh penyerang ransomware. Dalam kemenangan yang jarang terjadi, dua organisasi memperoleh kunci dekripsi tanpa harus membayar uang tebusan, dan empat perusahaan kripto yang menjadi sasaran menerima peringatan sebelum informasi mereka dikunci.
Peneliti keamanan dan Atropos.ai CTO Vangelis Stykas melakukan penyelidikan untuk menemukan server komando dan kontrol serta lokasi kebocoran data yang digunakan oleh lebih dari 100 organisasi yang berfokus pada ransomware dan pemerasan. Menemukan titik lemah yang dapat mengungkap rincian tentang kelompok-kelompok ini dan korbannya adalah tujuannya.
Sebelum presentasinya di konferensi keamanan Black Hat di Las Vegas, Stykas diungkapkan kepada TechCrunch bahwa ia telah menemukan beberapa kerentanan kritis di dasbor web yang digunakan oleh minimal tiga organisasi ransomware. Operasi internal mereka terganggu oleh kelemahan-kelemahan ini. Organisasi Ransomware biasanya beroperasi di web gelap, sehingga sulit untuk mengidentifikasi server sebenarnya yang digunakan untuk menyimpan data yang dicuri dan melakukan serangan cyber.
Namun, Stykas dapat mengakses data internal tanpa login karena kesalahan pengkodean dan lubang keamanan di situs kebocoran, tempat geng ransomware memposting materi curian untuk memeras korbannya. Kelemahan ini kadang-kadang membuat alamat IP server terlihat, mungkin mengungkapkan lokasi sebenarnya.
Beberapa kerentanannya adalah titik akhir API ransomware BlackCat mengekspos target serangan aktif, dan organisasi ransomware Everest menggunakan kata sandi default untuk database SQL back-end dan jalur file yang terbuka. Selain itu, Stykas memperoleh akses ke pesan obrolan administrator ransomware Mallox dengan menyalahgunakan kerentanan referensi objek langsung tidak aman (IDOR). Di sana, dia menemukan dua kunci dekripsi, yang dia bagikan kepada perusahaan yang terkena dampak.
Empat perusahaan mata uang kripto, dua di antaranya adalah unicorn (startup bernilai lebih dari $1 miliar) dan dua perusahaan kecil termasuk di antara para korban. Tak satu pun dari bisnis ini yang secara resmi mengakui masalah keamanan tersebut, dan Stykas menyembunyikan nama mereka.
Meskipun membayar uang tebusan tidak langsung membantu perusahaan yang perlu memulihkan akses ke data mereka, pihak berwenang seperti FBI memperingatkan agar tidak melakukan hal tersebut untuk mencegah mendukung kejahatan dunia maya. Hasilnya menunjukkan bahwa geng ransomware rentan terhadap kelemahan keamanan mendasar yang sama seperti perusahaan besar, sehingga memberikan peluang bagi penegak hukum untuk menyasar para peretas kriminal ini. Penegakan hukum memiliki tingkat keberhasilan yang berbeda-beda dalam menghentikan operasi ransomware dan mendapatkan kunci dekripsi.