Według badacza bezpieczeństwa sześć firm uniknął zapłaty dużego okupu z powodu fundamentalnych luk w zabezpieczeniach infrastruktury internetowej, które wykorzystali atakujący oprogramowanie ransomware. W wyniku rzadkiego zwycięstwa dwie organizacje uzyskały klucze odszyfrowujące bez konieczności płacenia okupu, a cztery zaatakowane przedsiębiorstwa kryptograficzne otrzymały ostrzeżenia, zanim ich informacje zostały zablokowane.
Badacz bezpieczeństwa i Atropos.ai dyrektor techniczny Vangelis Stykas przeprowadzili dochodzenie, aby znaleźć serwery dowodzenia i kontroli oraz lokalizacje wycieków danych wykorzystywane przez ponad 100 organizacji zajmujących się oprogramowaniem ransomware i wymuszeniami. Jego celem było znalezienie słabych punktów, które ujawniłyby szczegóły dotyczące tych grup i ich ofiar.
Przed prezentacją na konferencji dotyczącej bezpieczeństwa Black Hat w Las Vegas Stykas ujawniono TechCrunch, że znalazł wiele krytycznych luk w zabezpieczeniach internetowych pulpitów nawigacyjnych wykorzystywanych przez co najmniej trzy organizacje zajmujące się oprogramowaniem ransomware. Te słabości utrudniały ich wewnętrzne funkcjonowanie. Organizacje zajmujące się oprogramowaniem ransomware zazwyczaj działają w ciemnej sieci, co utrudnia identyfikację rzeczywistych serwerów używanych do przechowywania skradzionych danych i przeprowadzania cyberataków.
Jednak Stykasowi udało się uzyskać dostęp do wewnętrznych danych bez konieczności logowania się z powodu błędów w kodowaniu i luk w zabezpieczeniach w witrynach wycieków, gdzie gangi zajmujące się oprogramowaniem ransomware wysyłają skradzione materiały ofiarom szantażu. Te wady czasami powodowały, że adresy IP serwerów były widoczne, prawdopodobnie ujawniając ich rzeczywiste lokalizacje.
Kilka luk polegało na tym, że punkty końcowe API ransomware BlackCat odsłoniły aktywne cele ataku, a organizacja zajmująca się oprogramowaniem ransomware Everest wykorzystywała domyślne hasło do swoich wewnętrznych baz danych SQL i ujawnionych ścieżek plików. Ponadto Stykas uzyskał dostęp do wiadomości na czacie administratora oprogramowania ransomware Mallox, wykorzystując lukę w zabezpieczeniach insecure direct object reference (IDOR). Tam odkrył dwa klucze deszyfrujące, które udostępnił firmom, których to dotyczyło.
Wśród ofiar znalazły się cztery firmy kryptowalutowe, w tym dwie jednorożce (startupy wyceniane na ponad 1 miliard dolarów) oraz dwa małe przedsiębiorstwa. Żadna z tych firm oficjalnie nie uznała problemów związanych z bezpieczeństwem, a Stykas zataił ich nazwy.
Chociaż zapłacenie okupu nie pomaga natychmiast firmom, które muszą przywrócić dostęp do swoich danych, władze takie jak FBI ostrzegają, aby tego nie robić, aby zapobiec wspieraniu cyberprzestępczości. Wyniki wskazują, że gangi zajmujące się oprogramowaniem ransomware są podatne na te same podstawowe luki w zabezpieczeniach, co duże korporacje, co zapewnia organom ścigania potencjalne możliwości wycelowania w tych hakerów. Organy ścigania odnosiły różne sukcesy w zatrzymywaniu operacji oprogramowania ransomware i uzyskiwaniu kluczy deszyfrujących.