Saskaņā ar drošības pētnieka teikto, seši uzņēmumi izvairījās no lieliem izpirkuma maksājumiem, jo tiešsaistes infrastruktūrā bija fundamentālas drošības nepilnības, kuras izmantoja izpirkuma programmatūras uzbrucēji. Retā uzvarā divas organizācijas ieguva atšifrēšanas atslēgas, nemaksājot izpirkuma maksu, un četri šifrēšanas uzņēmumi saņēma brīdinājumus pirms to informācijas bloķēšanas.
Drošības pētnieks un Atropos.ai CTO Vangelis Stykas veica izmeklēšanu, lai atrastu vadības un kontroles serverus un datu noplūdes vietas, kuras izmantoja vairāk nekā 100 uz izspiedējvīrusu programmatūru un izspiešanu vērstas organizācijas. Viņa mērķis bija atrast vājās vietas, kas atklātu sīkāku informāciju par šīm grupām un to upuriem.
Pirms uzstāšanās Black Hat drošības konferencē Lasvegasā Stykas atklāts TechCrunch, ka viņš bija atradis vairākas būtiskas ievainojamības tīmekļa informācijas paneļos, ko izmantoja vismaz trīs izpirkuma programmatūras organizācijas. Šīs nepilnības apdraudēja viņu iekšējās darbības. Izpirkuma programmatūras organizācijas parasti darbojas tumšajā tīmeklī, tāpēc ir sarežģīti identificēt īstos serverus, kas tiek izmantoti zagtu datu glabāšanai un kiberuzbrukumiem.
Tomēr Stykas varēja piekļūt iekšējiem datiem, nepiesakoties kodēšanas kļūdu un drošības caurumu dēļ noplūdes vietnēs, kur izspiedējvīrusu bandas ievieto zagtus materiālus, lai šantažētu upurus. Šīs nepilnības dažkārt padarīja serveru IP adreses redzamas, iespējams, atklājot to faktisko atrašanās vietu.
Dažas no ievainojamībām bija tādas, ka BlackCat ransomware API galapunkti atklāja aktīvus uzbrukuma mērķus, un Everest ransomware organizācija izmantoja noklusējuma paroli savām aizmugures SQL datu bāzēm un atklātajiem failu ceļiem. Turklāt Stykas ieguva piekļuvi Mallox ransomware administratora tērzēšanas ziņojumiem, ļaunprātīgi izmantojot nedrošu tiešo objektu atsauci (IDOR)ievainojamību. Tur viņš atklāja divas atšifrēšanas atslēgas, kuras viņš kopīgoja ar ietekmētajiem uzņēmumiem.
Cietušo vidū bija četri kriptovalūtu uzņēmumi, no kuriem divi ir vienradži (jaunuzņēmumi, kuru vērtība pārsniedz 1 miljardu USD) un divi nelieli uzņēmumi. Neviens no šiem uzņēmumiem nav oficiāli atzinis drošības problēmas, un Stykas neizpauda viņu vārdus.
Lai gan izpirkuma maksas maksāšana nepalīdz uzreiz uzņēmumiem, kuriem jāatjauno piekļuve saviem datiem, tādas iestādes kā FIB brīdina to nedarīt, lai novērstu kibernoziedzības atbalstīšanu. Rezultāti liecina, ka ransomware bandas ir pakļautas tādiem pašiem fundamentāliem drošības trūkumiem kā lielās korporācijas, nodrošinot tiesībaizsardzības iestādēm potenciālus veidus, kā vērsties pret šiem noziedzīgajiem hakeriem. Tiesībaizsardzības iestādēm ir bijuši dažādi panākumi, apturot izspiedējvīrusa darbības un iegūstot atšifrēšanas atslēgas.