Volgens een beveiligingsonderzoeker zijn zes bedrijven ontsnapt aan grote losgeldbetalingen vanwege fundamentele beveiligingslekken in de online infrastructuur waar ransomware-aanvallers misbruik van maakten. In een zeldzame overwinning verkregen twee organisaties decoderingssleutels zonder losgeld te hoeven betalen, en vier gerichte crypto-ondernemingen ontvingen waarschuwingen voordat hun informatie werd vergrendeld.
Beveiligingsonderzoeker en Atropos.ai CTO Vangelis Stykas voerden een onderzoek uit om commando- en controleservers en dataleklocaties te vinden die worden gebruikt door meer dan 100 op ransomware en afpersing gerichte organisaties. Zijn doel was het vinden van zwakke punten die details over deze groepen en hun slachtoffers zouden onthullen.
Voorafgaand aan zijn presentatie op de Black Hat-beveiligingsconferentie in Las Vegas, bekendgemaakt aan TechCrunch dat hij meerdere kritieke kwetsbaarheden had gevonden in de webdashboards die door minimaal drie ransomware-organisaties werden gebruikt. Hun interne activiteiten werden door deze zwakke punten in gevaar gebracht. Ransomware-organisaties opereren doorgaans op het dark web, wat het een uitdaging maakt om de daadwerkelijke servers te identificeren die worden gebruikt om gestolen gegevens op te slaan en cyberaanvallen uit te voeren.
Stykas had echter toegang tot interne gegevens zonder in te loggen vanwege codeerfouten en beveiligingslekken op de leklocaties, waar ransomwarebendes gestolen materiaal posten om slachtoffers te chanteren. Deze fouten maakten af en toe de IP-adressen van de servers zichtbaar, waardoor mogelijk hun werkelijke locatie werd onthuld.
Een paar van de kwetsbaarheden waren dat de API-eindpunten van de BlackCat-ransomware actieve aanvalsdoelen blootlegden, en dat de Everest-ransomware-organisatie een standaardwachtwoord gebruikte voor de back-end SQL-databases en blootgestelde bestandspaden. Bovendien kreeg Stykas toegang tot de chatberichten van een Mallox-ransomwarebeheerder door misbruik te maken van een kwetsbaarheid voor onveilige direct object reference (IDOR). Daar ontdekte hij twee decoderingssleutels, die hij deelde met de getroffen bedrijven.
Vier cryptocurrency-bedrijven, waarvan er twee eenhoorns zijn (startups met een waarde van meer dan $1 miljard) en twee kleine ondernemingen behoorden tot de slachtoffers. Geen van deze bedrijven heeft de beveiligingsproblemen officieel erkend en Stykas heeft hun namen verborgen gehouden.
Hoewel het betalen van losgeld bedrijven die de toegang tot hun gegevens moeten herstellen niet onmiddellijk helpt, waarschuwen autoriteiten zoals de FBI dit niet te doen om de ondersteuning van cybercriminaliteit te voorkomen. De resultaten geven aan dat ransomwarebendes vatbaar zijn voor dezelfde fundamentele veiligheidsproblemen als grote bedrijven, waardoor rechtshandhavingsinstanties potentiële mogelijkheden hebben om zich op deze criminele hackers te richten. Wetshandhaving heeft wisselend succes gehad bij het stoppen van ransomware-operaties en het verkrijgen van decoderingssleutels.