セキュリティ研究者によると、ランサムウェア攻撃者が悪用したオンライン インフラストラクチャの根本的なセキュリティ ホールにより、6 つの企業が多額の身代金の支払いを免れました。まれな勝利として、2 つの組織が身代金を支払うことなく復号キーを取得し、標的となった 4 つの暗号通貨企業は情報がロックされる前に警告を受けました。
セキュリティ研究者であり、Atropos.ai CTO の Vangelis Stykas は、100 を超えるランサムウェアと恐喝に重点を置いた組織が利用しているコマンド アンド コントロール サーバーとデータ漏洩場所を特定する調査を実施しました。これらのグループとその被害者に関する詳細を明らかにする弱点を見つけることが彼の目的でした。
ラスベガスで開催される Black Hat セキュリティ カンファレンスでのプレゼンテーションに先立って、Stykas 氏は TechCrunch に開示 -six-companies-from-paying-hefty-ransoms/) 少なくとも 3 つのランサムウェア組織が利用している Web ダッシュボードに複数の重大な脆弱性を発見したと述べました。これらの弱点により、内部業務が危険にさらされました。ランサムウェア組織は通常、ダークウェブ で活動しているため、盗まれたデータを保存し、サイバー攻撃を実行するために使用される実際のサーバーを特定することが困難になります。
しかし、ランサムウェアギャングが被害者を脅迫するために盗んだ資料を投稿するリークサイトにはコーディングミスとセキュリティホールがあったため、Stykasはログインせずに内部データにアクセスできた。これらの欠陥によりサーバーの IP アドレスが可視化されることがあり、サーバーの実際の場所が明らかになった可能性があります。
脆弱性のいくつかは、BlackCat ランサムウェアの API エンドポイントがアクティブな攻撃ターゲットを公開し、Everest ランサムウェア組織がバックエンド SQL データベースのデフォルト パスワードを利用してファイル パスを公開するというものでした。さらに、Stykas は 安全でないダイレクト オブジェクト参照 (IDOR) の脆弱性を悪用して、Mallox ランサムウェア管理者のチャット メッセージにアクセスしました。そこで彼は 2 つの復号キーを発見し、影響を受けた企業と共有しました。
仮想通貨企業4社(うち2社はユニコーン企業(評価額10億ドル以上の新興企業)と小規模企業2社)が被害を受けた。これらの企業はいずれもセキュリティ問題を公式に認識しておらず、Stykas は名前を伏せた。
身代金の支払いは、データへのアクセスを回復する必要がある企業を直ちに支援するものではありませんが、FBI などの当局は、サイバー犯罪の支援を防ぐために、身代金を支払うことに対して警告しています。この結果は、ランサムウェア ギャングが大手企業と同じ基本的なセキュリティ上の欠陥の影響を受けやすいことを示しており、法執行機関がこれらの犯罪ハッカーをターゲットにする可能性のある手段を提供しています。法執行機関は、ランサムウェアの活動を阻止し、復号キーを取得することにさまざまな程度の成功を収めています。