Potrivit unui cercetător în domeniul securității, șase companii au scăpat de plăți mari de răscumpărare din cauza găurilor fundamentale de securitate din infrastructura online pe care atacatorii de ransomware au exploatat-o. Într-o victorie rară, două organizații au obținut chei de decriptare fără a fi nevoite să plătească o răscumpărare, iar patru întreprinderi cripto vizate au primit avertismente înainte ca informațiile lor să fie blocate.
Cercetătorul de securitate și Atropos.ai CTO Vangelis Stykas a efectuat o investigație pentru a găsi servere de comandă și control și locații de scurgere de date utilizate de peste 100 de organizații de ransomware și extorcare. Găsirea punctelor slabe care să dezvăluie detalii despre aceste grupuri și victimele lor a fost scopul lui.
Înainte de prezentarea sa la conferința de securitate Black Hat din Las Vegas, Stykas a divulgat TechCrunch că a găsit mai multe vulnerabilități critice în tablourile de bord web utilizate de cel puțin trei organizații de ransomware. Operațiunile lor interne au fost compromise de aceste slăbiciuni. Organizațiile ransomware operează în mod obișnuit pe dark web, ceea ce face dificilă identificarea serverelor reale care sunt folosite pentru a stoca datele furate și pentru a efectua atacuri cibernetice.
Cu toate acestea, Stykas a reușit să acceseze datele interne fără a se conecta din cauza greșelilor de codare și a găurilor de securitate din site-urile de scurgeri, unde bandele de ransomware postează materiale furate pentru a șantaja victimele. Aceste defecte au făcut uneori vizibile adresele IP ale serverelor, dezvăluind posibil locațiile lor reale.
Câteva dintre vulnerabilități au fost că punctele finale API ale ransomware-ului BlackCat au expus ținte active de atac, iar organizația de ransomware Everest a folosit o parolă implicită pentru bazele de date SQL back-end și căile de fișiere expuse. În plus, Stykas a obținut acces la mesajele de chat ale unui administrator de ransomware Mallox abuzând de o vulnerabilitate referință nesigură la obiect direct (IDOR). Acolo, el a descoperit două chei de decriptare, pe care le-a împărtășit firmelor afectate.
Patru companii de criptomonede, dintre care două sunt unicorni (startup-uri evaluate la peste 1 miliard de dolari) și două întreprinderi minuscule s-au numărat printre victime. Niciuna dintre aceste afaceri nu a recunoscut oficial problemele de securitate, iar Stykas și-a ascuns numele.
Deși plata unei răscumpări nu ajută imediat firmele care trebuie să-și restabilească accesul la datele lor, autorități precum FBI avertizează să nu facă acest lucru pentru a preveni susținerea criminalității cibernetice. Rezultatele indică faptul că bandele de ransomware sunt susceptibile la aceleași defecte fundamentale de securitate ca și marile corporații, oferind autorităților de aplicare a legii căi potențiale de a viza acești hackeri criminali. Oamenii de aplicare a legii au avut diferite grade de succes în oprirea operațiunilor ransomware și în obținerea cheilor de decriptare.