한 보안 연구원에 따르면 랜섬웨어 공격자가 악용한 온라인 인프라의 근본적인 보안 허점으로 인해 6개 기업이 대규모 몸값 지불을 면했습니다. 흔치 않은 승리를 거둔 두 조직은 몸값을 지불하지 않고도 암호 해독 키를 얻었고, 4개의 표적 암호화 기업은 정보가 잠기기 전에 경고를 받았습니다.
보안 연구원이자 Atropos.ai CTO인 Vangelis Stykas는 100개 이상의 랜섬웨어 및 강탈에 초점을 맞춘 조직에서 활용하는 명령 및 제어 서버와 데이터 유출 위치를 찾기 위해 조사를 수행했습니다. 이들 그룹과 피해자에 대한 세부 정보를 공개할 약점을 찾는 것이 그의 목표였습니다.
Stykas는 라스베거스에서 열린 Black Hat 보안 컨퍼런스에서 발표하기 전에 TechCrunch에 공개 -six-companies-from-paying-hefty-ransom/) 그는 최소 3개의 랜섬웨어 조직에서 활용하는 웹 대시보드에서 여러 가지 심각한 취약점을 발견했습니다. 이러한 약점으로 인해 내부 운영이 위태로워졌습니다. 랜섬웨어 조직은 일반적으로 다크 웹에서 활동하므로 훔친 데이터를 저장하고 사이버 공격을 수행하는 데 사용되는 실제 서버를 식별하기가 어렵습니다.
하지만 스티카스는 랜섬웨어 집단이 훔친 자료를 협박 피해자에게 게시하는 유출 사이트의 코딩 실수와 보안 허점으로 인해 로그인 없이도 내부 데이터에 접근할 수 있었다. 이러한 결함으로 인해 때때로 서버의 IP 주소가 표시되어 실제 위치가 공개될 수 있습니다.
취약점 중 일부는 BlackCat 랜섬웨어의 API 엔드포인트가 활성 공격 대상을 노출했으며 Everest 랜섬웨어 조직은 백엔드 SQL 데이터베이스 및 노출된 파일 경로에 기본 비밀번호를 활용했다는 것입니다. 또한 Stykas는 안전하지 않은 직접 개체 참조(IDOR) 취약점을 악용하여 Mallox 랜섬웨어 관리자의 채팅 메시지에 액세스할 수 있었습니다. 그곳에서 그는 두 개의 암호 해독 키를 발견했고 이를 영향을 받은 회사와 공유했습니다.
4개의 암호화폐 회사 중 2개는 유니콘(가치 10억 달러 이상의 스타트업)이고 2개의 소규모 기업도 피해자였습니다. 이들 기업 중 누구도 공식적으로 보안 문제를 인식하지 않았으며 Stykas는 이름을 공개하지 않았습니다.
몸값을 지불한다고 해서 데이터에 대한 액세스를 복원해야 하는 기업에 즉시 도움이 되는 것은 아니지만 FBI와 같은 당국은 사이버 범죄 지원을 방지하기 위해 그렇게 하지 말라고 경고합니다. 결과는 랜섬웨어 갱단이 주요 기업과 동일한 근본적인 보안 결함에 취약하여 법 집행 기관에 이러한 범죄 해커를 표적으로 삼을 수 있는 잠재적인 수단을 제공한다는 것을 나타냅니다. 법 집행 기관은 랜섬웨어 작업을 중단하고 암호 해독 키를 얻는 데 다양한 수준의 성공을 거두었습니다.