Secondo un ricercatore di sicurezza, sei aziende sono sfuggite al pagamento di ingenti riscatti a causa di fondamentali falle di sicurezza nell’infrastruttura online sfruttate dagli aggressori di ransomware. Con una rara vittoria, due organizzazioni hanno ottenuto chiavi di decrittazione senza dover pagare un riscatto, e quattro imprese crittografiche prese di mira hanno ricevuto avvisi prima che le loro informazioni venissero bloccate.
Il ricercatore di sicurezza e CTO di Atropos.ai Vangelis Stykas ha condotto un'indagine per trovare server di comando e controllo e luoghi di fuga di dati utilizzati da oltre 100 ransomware e organizzazioni focalizzate sull'estorsione. Il suo obiettivo era trovare punti deboli che rivelassero dettagli su questi gruppi e sulle loro vittime.
Prima della sua presentazione alla conferenza sulla sicurezza Black Hat a Las Vegas, Stykas ha rivelato a TechCrunch di aver riscontrato molteplici vulnerabilità critiche nei dashboard web utilizzati da almeno tre organizzazioni ransomware. Le loro operazioni interne sono state compromesse da queste debolezze. Le organizzazioni di ransomware operano tipicamente sul dark web, il che rende difficile identificare i server effettivi utilizzati per archiviare dati rubati ed effettuare attacchi informatici.
Tuttavia, Stykas è riuscito ad accedere ai dati interni senza effettuare il login a causa di errori di codifica e falle di sicurezza nei siti di fuga di notizie, dove le bande di ransomware pubblicano materiale rubato per ricattare le vittime. Questi difetti occasionalmente rendevano visibili gli indirizzi IP dei server, eventualmente rivelandone le posizioni effettive.
Alcune delle vulnerabilità erano dovute al fatto che gli endpoint API del ransomware BlackCat esponevano obiettivi di attacco attivi e l'organizzazione del ransomware Everest utilizzava una password predefinita per i suoi database SQL back-end e i percorsi dei file esposti. Inoltre, Stykas ha ottenuto l'accesso ai messaggi di chat di un amministratore del ransomware Mallox abusando di una vulnerabilità riferimento diretto a un oggetto non sicuro (IDOR). Lì ha scoperto due chiavi di decrittazione, che ha condiviso con le aziende colpite.
Tra le vittime figurano quattro società di criptovaluta, due delle quali sono unicorni (startup valutate oltre 1 miliardo di dollari) e due piccole imprese. Nessuna di queste aziende ha riconosciuto ufficialmente i problemi di sicurezza e Stykas ha nascosto i loro nomi.
Anche se il pagamento di un riscatto non aiuta immediatamente le aziende che hanno bisogno di ripristinare l’accesso ai propri dati, autorità come l’FBI mettono in guardia dal farlo per evitare di sostenere la criminalità informatica. I risultati indicano che le bande di ransomware sono suscettibili alle stesse fondamentali falle di sicurezza delle grandi aziende, fornendo alle forze dell’ordine potenziali strade per prendere di mira questi hacker criminali. Le forze dell'ordine hanno avuto vari gradi di successo nel fermare le operazioni di ransomware e nell'ottenere chiavi di decrittazione.