Theo một nhà nghiên cứu bảo mật, sáu doanh nghiệp đã thoát khỏi khoản tiền chuộc lớn nhờ các lỗ hổng bảo mật cơ bản trong cơ sở hạ tầng trực tuyến mà những kẻ tấn công ransomware đã khai thác. Trong một chiến thắng hiếm hoi, hai tổ chức đã lấy được khóa giải mã mà không phải trả tiền chuộc và bốn doanh nghiệp tiền điện tử bị nhắm mục tiêu đã nhận được cảnh báo trước khi thông tin của họ bị khóa.
Nhà nghiên cứu bảo mật và Atropos.ai CTO Vangelis Stykas đã thực hiện một cuộc điều tra để tìm ra các máy chủ chỉ huy và kiểm soát cũng như các vị trí rò rỉ dữ liệu được hơn 100 tổ chức tập trung vào tống tiền và ransomware sử dụng. Mục đích của anh là tìm ra những điểm yếu có thể tiết lộ thông tin chi tiết về các nhóm này và nạn nhân của họ.
Trước bài thuyết trình của mình tại hội nghị bảo mật Black Hat ở Las Vegas, Stykas tiết lộ với TechCrunch rằng anh đã tìm thấy nhiều lỗ hổng nghiêm trọng trong bảng điều khiển web được ít nhất ba tổ chức ransomware sử dụng. Hoạt động nội bộ của họ đã bị tổn hại bởi những điểm yếu này. Các tổ chức ransomware thường hoạt động trên web đen, điều này khiến việc xác định các máy chủ thực tế được sử dụng để lưu trữ dữ liệu bị đánh cắp và thực hiện các cuộc tấn công mạng trở nên khó khăn.
Tuy nhiên, Stykas có thể truy cập dữ liệu nội bộ mà không cần đăng nhập do lỗi mã hóa và lỗ hổng bảo mật trên các trang web rò rỉ, nơi các nhóm ransomware đăng tài liệu bị đánh cắp để tống tiền nạn nhân. Những sai sót này đôi khi làm cho địa chỉ IP của máy chủ hiển thị, có thể tiết lộ vị trí thực tế của chúng.
Một số lỗ hổng là điểm cuối API của ransomware BlackCat đã làm lộ ra các mục tiêu tấn công đang hoạt động và tổ chức ransomware Everest đã sử dụng mật khẩu mặc định cho cơ sở dữ liệu SQL phụ trợ và đường dẫn tệp bị lộ. Ngoài ra, Stykas đã giành được quyền truy cập vào tin nhắn trò chuyện của quản trị viên ransomware Mallox bằng cách lạm dụng lỗ hổng tham chiếu đối tượng trực tiếp không an toàn (IDOR). Ở đó, anh phát hiện ra hai khóa giải mã và chia sẻ khóa này với các công ty bị ảnh hưởng.
Bốn công ty tiền điện tử, hai trong số đó là kỳ lân (các công ty khởi nghiệp trị giá hơn 1 tỷ USD) và hai doanh nghiệp nhỏ nằm trong số nạn nhân. Không có doanh nghiệp nào trong số này chính thức thừa nhận các vấn đề bảo mật và Stykas đã giấu tên của họ.
Mặc dù việc trả tiền chuộc không hỗ trợ ngay lập tức cho các công ty cần khôi phục quyền truy cập vào dữ liệu của họ, nhưng các cơ quan chức năng như FBI cảnh báo không nên làm như vậy để ngăn chặn việc hỗ trợ tội phạm mạng. Kết quả chỉ ra rằng các băng đảng ransomware dễ mắc phải các lỗi bảo mật cơ bản giống như các tập đoàn lớn, mang lại cho cơ quan thực thi pháp luật những con đường tiềm năng để nhắm mục tiêu vào những tin tặc tội phạm này. Cơ quan thực thi pháp luật đã đạt được mức độ thành công khác nhau trong việc ngăn chặn các hoạt động của ransomware và lấy được khóa giải mã.