De acordo com um pesquisador de segurança, seis empresas escaparam de grandes pagamentos de resgate devido a falhas fundamentais de segurança na infraestrutura online exploradas por invasores de ransomware. Numa rara vitória, duas organizações obtiveram chaves de desencriptação sem terem de pagar resgate, e quatro empresas criptográficas visadas receberam avisos antes de as suas informações serem bloqueadas.
O pesquisador de segurança e CTO da Atropos.ai Vangelis Stykas realizou uma investigação para encontrar servidores de comando e controle e locais de vazamento de dados utilizados por mais de 100 organizações focadas em ransomware e extorsão. Encontrar pontos fracos que revelassem detalhes sobre esses grupos e suas vítimas era o seu objetivo.
Antes de sua apresentação na conferência de segurança Black Hat em Las Vegas, Stykas revelado ao TechCrunch que ele encontrou diversas vulnerabilidades críticas nos painéis da web utilizados por pelo menos três organizações de ransomware. As suas operações internas foram comprometidas por estas fraquezas. As organizações de ransomware normalmente operam na dark web, o que torna difícil identificar os servidores reais usados para armazenar dados roubados e realizar ataques cibernéticos.
No entanto, Stykas conseguiu acessar dados internos sem fazer login devido a erros de codificação e falhas de segurança nos sites de vazamento, onde gangues de ransomware postam material roubado para chantagear as vítimas. Essas falhas ocasionalmente tornavam visíveis os endereços IP dos servidores, possivelmente revelando suas localizações reais.
Algumas das vulnerabilidades foram que os endpoints da API do ransomware BlackCat expuseram alvos de ataque ativos, e a organização do ransomware Everest utilizou uma senha padrão para seus bancos de dados SQL de back-end e caminhos de arquivos expostos. Além disso, Stykas obteve acesso às mensagens de bate-papo de um administrador do ransomware Mallox abusando de uma vulnerabilidade de referência direta de objeto insegura (IDOR). Lá, ele descobriu duas chaves de descriptografia, que compartilhou com as empresas afetadas.
Quatro empresas de criptomoedas, duas das quais são unicórnios (startups avaliadas em mais de mil milhões de dólares) e duas pequenas empresas estavam entre as vítimas. Nenhuma dessas empresas reconheceu oficialmente os problemas de segurança e a Stykas omitiu seus nomes.
Embora o pagamento de um resgate não ajude imediatamente as empresas que necessitam de restaurar o acesso aos seus dados, autoridades como o FBI alertam contra o fazê-lo, a fim de evitar o apoio ao crime cibernético. Os resultados indicam que as gangues de ransomware são suscetíveis às mesmas falhas fundamentais de segurança que as grandes corporações, proporcionando às autoridades policiais caminhos potenciais para atacar esses hackers criminosos. As autoridades policiais tiveram vários graus de sucesso na interrupção de operações de ransomware e na obtenção de chaves de descriptografia.