Podľa bezpečnostného výskumníka šesť firiem uniklo veľkým výkupným kvôli základným bezpečnostným dieram v online infraštruktúre, ktoré útočníci ransomvéru zneužívali. Vo vzácnom víťazstve získali dve organizácie dešifrovacie kľúče bez toho, aby museli zaplatiť výkupné, a štyri cielené kryptopodniky dostali varovania pred uzamknutím ich informácií.
Výskumník v oblasti bezpečnosti a technický riaditeľ Atropos.ai Vangelis Stykas vykonal vyšetrovanie s cieľom nájsť servery velenia a riadenia a miesta úniku údajov, ktoré využíva viac ako 100 organizácií zameraných na ransomvér a vydieranie. Jeho cieľom bolo nájsť slabé miesta, ktoré by odhalili podrobnosti o týchto skupinách a ich obetiach.
Pred svojou prezentáciou na bezpečnostnej konferencii Black Hat v Las Vegas Stykas prezradené pre TechCrunch, že našiel viacero kritických zraniteľností vo webových paneloch využívaných minimálne tromi ransomvérovými organizáciami. Ich vnútorné operácie boli týmito nedostatkami ohrozené. Ransomvérové organizácie zvyčajne fungujú na tmavom webe, čo sťažuje identifikáciu skutočných serverov, ktoré sa používajú na ukladanie ukradnutých údajov a vykonávanie kybernetických útokov.
Stykas však mohol získať prístup k interným údajom bez prihlásenia kvôli chybám v kódovaní a bezpečnostným dieram na miestach úniku, kde gangy ransomvéru zverejňujú ukradnutý materiál, aby vydierali obete. Tieto chyby príležitostne zviditeľnili IP adresy serverov a pravdepodobne odhalili ich skutočné umiestnenie.
Niektoré zo zraniteľností spočívali v tom, že koncové body API ransomvéru BlackCat odhalili aktívne ciele útoku a organizácia ransomvéru Everest používala predvolené heslo pre svoje back-end databázy SQL a odkryté cesty k súborom. Stykas navyše získal prístup k chatovým správam správcu ransomvéru Mallox zneužitím nezabezpečeného priameho odkazu na objekt (IDOR) zraniteľnosti. Tam objavil dva dešifrovacie kľúče, ktoré zdieľal s dotknutými firmami.
Medzi obeťami boli štyri kryptomenové spoločnosti, z ktorých dve sú jednorožce (startupy s hodnotou viac ako 1 miliarda dolárov) a dva malé podniky. Žiadny z týchto podnikov oficiálne neuznal bezpečnostné problémy a Stykas zatajil ich mená.
Hoci zaplatenie výkupného nepomôže okamžite firmám, ktoré potrebujú obnoviť prístup k svojim údajom, úrady ako FBI varujú pred tým, aby tak urobili, aby zabránili podpore počítačovej kriminality. Výsledky naznačujú, že ransomvérové gangy sú náchylné na rovnaké základné bezpečnostné chyby ako veľké korporácie, čo poskytuje orgánom činným v trestnom konaní potenciálne spôsoby, ako sa zamerať na týchto kriminálnych hackerov. Orgány činné v trestnom konaní dosiahli rôzne stupne úspechu pri zastavení operácií ransomvéru a získaní dešifrovacích kľúčov.