За словами дослідника безпеки, шість компаній уникли великих виплат через фундаментальні діри в безпеці в онлайн-інфраструктурі, якими скористалися зловмисники. У рідкісній перемозі дві організації отримали ключі дешифрування без необхідності платити викуп, а чотири цільові криптопідприємства отримали попередження перед тим, як їхню інформацію було заблоковано.
Дослідник із питань безпеки та технічний директор Atropos.ai Вангеліс Стікас провів розслідування, щоб знайти сервери керування й керування та місця витоку даних, які використовуються понад 100 організаціями, орієнтованими на вимагання та здирництво. Його метою було знайти слабкі місця, які б розкрили подробиці про ці групи та їхніх жертв.
Перед своєю презентацією на конференції з безпеки Black Hat у Лас-Вегасі Стікас розкрився TechCrunch -six-companies-from-paying-hefty-ransoms/), що він виявив численні критичні вразливості на веб-панельках, якими користуються щонайменше три організації, які займаються програмами-вимагачами. Їхня внутрішня діяльність була скомпрометована через ці недоліки. Організації-вимагачі зазвичай працюють у темній мережі, що ускладнює ідентифікацію фактичних серверів, які використовуються для зберігання викрадених даних і здійснення кібератак.
Однак Stykas зміг отримати доступ до внутрішніх даних без входу в систему через помилки кодування та діри в безпеці на сайтах витоку, де банди програм-вимагачів розміщують вкрадені матеріали для шантажу жертв. Ці недоліки іноді робили IP-адреси серверів видимими, можливо, розкриваючи їхнє фактичне розташування.
Деякі з уразливостей полягали в тому, що кінцеві точки API програми-вимагача BlackCat відкривали активні цілі атаки, а організація програм-вимагачів Everest використовувала пароль за замовчуванням для своїх внутрішніх баз даних SQL і відкритих шляхів до файлів. Крім того, Stykas отримав доступ до повідомлень чату адміністратора програми-вимагача Mallox, зловживаючи вразливістю незахищеного прямого посилання на об’єкт (IDOR). Там він виявив два ключі дешифрування, якими поділився з постраждалими фірмами.
Чотири криптовалютні компанії, дві з яких є єдинорогом (стартапи вартістю понад 1 мільярд доларів), і два крихітних підприємства були серед жертв. Жодна з цих компаній офіційно не визнала проблеми з безпекою, і Stykas приховав свої імена.
Хоча сплата викупу не відразу допомагає компаніям, які потребують відновлення доступу до своїх даних, такі органи влади, як ФБР, застерігають від цього, щоб запобігти підтримці кіберзлочинності. Результати показують, що банди програм-вимагачів чутливі до тих самих фундаментальних недоліків безпеки, що й великі корпорації, що дає правоохоронним органам потенційні шляхи для нападу на цих злочинних хакерів. Правоохоронні органи досягли різного ступеня успіху в припиненні операцій програм-вимагачів і отриманні ключів дешифрування.