Po mnenju varnostnega raziskovalca se je šest podjetij izognilo velikim plačilom odkupnine zaradi temeljnih varnostnih lukenj v spletni infrastrukturi, ki so jih napadalci izsiljevalske programske opreme izkoristili. V redki zmagi sta dve organizaciji pridobili ključa za dešifriranje, ne da bi morali plačati odkupnino, štiri ciljana kripto podjetja pa so prejela opozorila, preden so bili njihovi podatki zaklenjeni.
Varnostni raziskovalec in Atropos.ai tehnični direktor Vangelis Stykas je izvedel preiskavo, da bi našel ukazne in nadzorne strežnike ter lokacije uhajanja podatkov, ki jih uporablja več kot 100 organizacij, ki se osredotočajo na izsiljevalsko programsko opremo in izsiljevanje. Njegov cilj je bil najti šibke točke, ki bi razkrile podrobnosti o teh skupinah in njihovih žrtvah.
Pred svojo predstavitvijo na varnostni konferenci Black Hat v Las Vegasu je Stykas razkril TechCrunch, da je našel več kritičnih ranljivosti na spletnih nadzornih ploščah, ki jih uporabljajo najmanj tri organizacije z izsiljevalsko programsko opremo. Njihovo notranje delovanje je bilo ogroženo zaradi teh slabosti. Organizacije z izsiljevalsko programsko opremo običajno delujejo na temnem spletu, zaradi česar je težko identificirati dejanske strežnike, ki se uporabljajo za shranjevanje ukradenih podatkov in izvajanje kibernetskih napadov.
Vendar pa je Stykas lahko dostopal do notranjih podatkov, ne da bi se prijavil, zaradi napak pri kodiranju in varnostnih lukenj na mestih uhajanja podatkov, kjer združbe izsiljevalskih programov objavljajo ukradeno gradivo za izsiljevanje žrtev. Te napake so občasno naredile vidne naslove IP strežnikov, kar je morda razkrilo njihove dejanske lokacije.
Nekaj ranljivosti je bilo, da so končne točke API-ja izsiljevalske programske opreme BlackCat razkrile aktivne tarče napadov, organizacija izsiljevalske programske opreme Everest pa je uporabila privzeto geslo za svoje zaledne baze podatkov SQL in izpostavljene poti datotek. Poleg tega je Stykas pridobil dostop do sporočil klepeta skrbnika izsiljevalske programske opreme Mallox z zlorabo ranljivosti insecure direct object reference (IDOR). Tam je odkril dva ključa za dešifriranje, ki ju je delil s prizadetimi podjetji.
Med žrtvami so bila štiri podjetja za kriptovalute, od katerih sta dve samorogi (startupi, ocenjeni na več kot milijardo dolarjev) in dve majhni podjetji. Nobeno od teh podjetij ni uradno priznalo varnostnih težav, Stykas pa ni razkril njihovih imen.
Čeprav plačilo odkupnine ne pomaga takoj podjetjem, ki morajo obnoviti dostop do svojih podatkov, organi, kot je FBI, svarijo pred tem, da bi preprečili podpiranje kibernetske kriminalitete. Rezultati kažejo, da so združbe z izsiljevalsko programsko opremo dovzetne za enake temeljne varnostne napake kot velike korporacije, kar organom pregona ponuja potencialne možnosti za napad na te kriminalne hekerje. Organi kazenskega pregona so imeli različne stopnje uspeha pri zaustavljanju operacij izsiljevalske programske opreme in pridobivanju ključev za dešifriranje.