Enligt en säkerhetsforskare undkom sex företag stora lösensummor på grund av grundläggande säkerhetshål i onlineinfrastrukturen som angripare utnyttjade ransomware. I en sällsynt seger fick två organisationer dekrypteringsnycklar utan att behöva betala en lösensumma, och fyra riktade kryptoföretag fick varningar innan deras information låstes.
Säkerhetsforskaren och Atropos.ai CTO Vangelis Stykas genomförde en undersökning för att hitta kommando- och kontrollservrar och platser för dataläckor som används av mer än 100 ransomware och utpressningsfokuserade organisationer. Att hitta svaga punkter som skulle avslöja detaljer om dessa grupper och deras offer var hans mål.
Före hans presentation på Black Hat-säkerhetskonferensen i Las Vegas, hjälpte Stykas avslöjad till TechCrunch att han hade hittat flera kritiska sårbarheter i webbinstrumentpanelerna som används av minst tre ransomware-organisationer. Deras interna verksamhet äventyrades av dessa svagheter. Ransomware-organisationer verkar vanligtvis på den mörka webben, vilket gör det utmanande att identifiera de faktiska servrarna som används för att lagra stulen data och utföra cyberattacker.
Stykas kunde dock komma åt interna data utan att logga in på grund av kodningsfel och säkerhetshål på läckagesajterna, där ransomware-gäng postar stulet material för att utpressa offer. Dessa brister gjorde ibland servrarnas IP-adresser synliga, vilket möjligen avslöjade deras faktiska platser.
Några av sårbarheterna var att BlackCat ransomwares API-ändpunkter exponerade aktiva attackmål, och Everest ransomware-organisationen använde ett standardlösenord för sina back-end SQL-databaser och exponerade filsökvägar. Dessutom fick Stykas tillgång till en Mallox ransomware-administratörs chattmeddelanden genom att missbruka en osäker direkt objektreferens (IDOR)sårbarhet. Där upptäckte han två dekrypteringsnycklar som han delade med de drabbade företagen.
Fyra kryptovalutaföretag, varav två är enhörningar (startups värderade till över 1 miljard dollar) och två små företag var bland offren. Ingen av dessa företag har officiellt erkänt säkerhetsproblemen, och Stykas höll undan deras namn.
Även om betalning av lösensumma inte omedelbart hjälper företag som behöver återställa åtkomst till sina uppgifter, varnar myndigheter som FBI för att göra det för att förhindra stödjande cyberbrottslighet. Resultaten indikerar att gäng med ransomware är mottagliga för samma grundläggande säkerhetsbrister som stora företag, vilket ger brottsbekämpande myndigheter potentiella vägar att rikta in sig på dessa kriminella hackare. Brottsbekämpning har haft olika grader av framgång med att stoppa ransomware-operationer och få dekrypteringsnycklar.