Pasak saugumo tyrinėtojo, šešios įmonės išvengė didelių išpirkų dėl esminių saugumo spragų internetinėje infrastruktūroje, kuriomis pasinaudojo išpirkos reikalaujantys užpuolikai. Retos pergalės metu dvi organizacijos gavo iššifravimo raktus nemokėdamos išpirkos, o keturios tikslinės kriptovaliutos įmonės gavo įspėjimus prieš užrakinant jų informaciją.
Saugumo tyrėjas ir Atropos.ai CTO Vangelis Stykas atliko tyrimą, siekdamas surasti komandų ir valdymo serverius bei duomenų nutekėjimo vietas, kurias naudoja daugiau nei 100 į išpirkos reikalaujančių ir turto prievartavimą orientuotų organizacijų. Jo tikslas buvo surasti silpnąsias vietas, kurios atskleistų informaciją apie šias grupes ir jų aukas.
Prieš pristatydamas pranešimą „Black Hat“ saugumo konferencijoje Las Vegase, Stykas atskleidė TechCrunch, kad jis rado keletą svarbių pažeidžiamumų žiniatinklio informacijos suvestinėse, kurias naudoja mažiausiai trys išpirkos reikalaujančios organizacijos. Dėl šių trūkumų buvo pažeista jų vidinė veikla. Išpirkos reikalaujančios organizacijos paprastai veikia tamsiajame žiniatinklyje, todėl sunku nustatyti tikrus serverius, kurie naudojami pavogtiems duomenims saugoti ir kibernetinėms atakoms vykdyti.
Tačiau Stykas galėjo pasiekti vidinius duomenis neprisijungęs dėl kodavimo klaidų ir saugumo spragų nutekėjimo svetainėse, kur išpirkos reikalaujančios gaujos skelbia pavogtą medžiagą šantažo aukoms. Dėl šių trūkumų serverių IP adresai kartais buvo matomi, galbūt atskleidžiant tikrąsias jų vietas.
Keletas pažeidžiamumų buvo tai, kad BlackCat ransomware API galutiniai taškai atskleidė aktyvius atakos taikinius, o Everesto išpirkos reikalaujančių programų organizacija naudojo numatytąjį slaptažodį savo galinėms SQL duomenų bazėms ir atskleidė failų kelius. Be to, Stykas gavo prieigą prie Mallox ransomware administratoriaus pokalbių pranešimų, piktnaudžiaudamas nesaugiu tiesioginiu objektu nuoroda (IDOR)pažeidžiamumu. Ten jis atrado du iššifravimo raktus, kuriais pasidalino su paveiktomis įmonėmis.
Tarp aukų buvo keturios kriptovaliutų bendrovės, iš kurių dvi yra vienaragiai (startupai, kurių vertė viršija 1 mlrd. USD) ir dvi mažos įmonės. Nė viena iš šių verslų oficialiai nepripažino saugumo problemų, o Stykas jų pavardes nuslėpė.
Nors išpirkos sumokėjimas ne iš karto padeda įmonėms, kurioms reikia atkurti prieigą prie savo duomenų, institucijos, tokios kaip FTB, įspėja to nedaryti, kad būtų užkirstas kelias remti kibernetinius nusikaltimus. Rezultatai rodo, kad ransomware gaujos yra jautrios tiems patiems esminiams saugumo trūkumams, kaip ir didžiosios korporacijos, todėl teisėsaugai suteikia galimų būdų, kaip nusitaikyti į šiuos nusikaltėlius. Teisėsaugai įvairiai pasisekė sustabdyti išpirkos reikalaujančių programų operacijas ir gauti iššifravimo raktus.