По словам исследователя безопасности, шесть компаний избежали крупных выкупов из-за фундаментальных дыр в безопасности в онлайн-инфраструктуре, которыми воспользовались злоумышленники-вымогатели. В результате редкой победы две организации получили ключи дешифрования без необходимости платить выкуп, а четыре целевых криптопредприятия получили предупреждения перед блокировкой их информации.
Исследователь безопасности и технический директор Atropos.ai Вангелис Стикас провел расследование, чтобы найти серверы управления и места утечки данных, используемые более чем 100 организациями, занимающимися программами-вымогателями и вымогательством. Его целью было найти слабые места, которые позволили бы раскрыть подробности об этих группах и их жертвах.
Перед своей презентацией на конференции по безопасности Black Hat в Лас-Вегасе Стикас раскрыл TechCrunch -six-companies-from-paying-heighty-ransoms/), что он обнаружил множество критических уязвимостей в веб-панелях мониторинга, используемых как минимум тремя организациями, занимающимися программами-вымогателями. Эти слабости поставили под угрозу их внутреннюю деятельность. Организации, занимающиеся программами-вымогателями, обычно работают в темной сети, что затрудняет идентификацию реальных серверов, которые используются для хранения украденных данных и проведения кибератак.
Однако Стикас смог получить доступ к внутренним данным без входа в систему из-за ошибок в кодировании и дыр в безопасности на сайтах утечек, где банды программ-вымогателей публикуют украденные материалы, чтобы шантажировать жертв. Эти недостатки иногда делали видимыми IP-адреса серверов, возможно, раскрывая их фактическое местоположение.
Некоторые из уязвимостей заключались в том, что конечные точки API программы-вымогателя BlackCat раскрывали активные цели атаки, а организация-вымогатель Everest использовала пароль по умолчанию для своих внутренних баз данных SQL и открытых путей к файлам. Кроме того, Stykas получил доступ к сообщениям чата администратора программы-вымогателя Mallox, воспользовавшись уязвимостью небезопасная прямая ссылка на объект (IDOR). Там он обнаружил два ключа дешифрования, которыми поделился с пострадавшими фирмами.
Среди жертв оказались четыре криптовалютные компании, две из которых являются «единорогами» (стартапы стоимостью более $1 млрд) и два крошечных предприятия. Ни одно из этих предприятий официально не признало наличие проблем с безопасностью, а Стикас не назвал их имена.
Хотя выплата выкупа не помогает компаниям немедленно восстановить доступ к своим данным, такие органы, как ФБР, предостерегают от этого, чтобы предотвратить поддержку киберпреступности. Результаты показывают, что банды программ-вымогателей подвержены тем же фундаментальным недостаткам безопасности, что и крупные корпорации, что дает правоохранительным органам потенциальные возможности для нападения на этих преступных хакеров. Правоохранительные органы добились разной степени успеха в прекращении операций программ-вымогателей и получении ключей дешифрования.