据一位安全研究人员称,由于勒索软件攻击者利用了在线基础设施中的根本安全漏洞,有六家企业逃脱了巨额赎金。两家组织在无需支付赎金的情况下获得了解密密钥,这是一次罕见的胜利,四家目标加密企业在其信息被锁定之前收到了警告。
安全研究员兼 Atropos.ai 首席技术官 Vangelis Stykas 进行了一项调查,以查找 100 多个勒索软件和勒索组织所利用的命令和控制服务器以及数据泄露位置。他的目标是找到弱点,从而披露这些团体及其受害者的详细信息。
在拉斯维加斯黑帽安全会议上发表演讲之前,Stykas 向 TechCrunch 披露,他在至少三个勒索软件组织利用的网络仪表板中发现了多个严重漏洞。他们的内部运作因这些弱点而受到损害。勒索软件组织通常在暗网上运行,这使得识别用于存储被盗数据和进行网络攻击的实际服务器变得困难。
然而,由于编码错误和泄漏网站中的安全漏洞,Stykas 能够在不登录的情况下访问内部数据,勒索软件团伙在这些网站上发布窃取的材料来勒索受害者。这些缺陷有时会使服务器的 IP 地址可见,可能会泄露它们的实际位置。
其中一些漏洞是 BlackCat 勒索软件的 API 端点暴露了主动攻击目标,而 Everest 勒索软件组织为其后端 SQL 数据库和暴露的文件路径使用了默认密码。此外,Stykas 通过滥用 不安全的直接对象引用 (IDOR) 漏洞获得了对 Mallox 勒索软件管理员聊天消息的访问权限。在那里,他发现了两个解密密钥,并将其与受影响的公司共享。
受害者中有四家加密货币公司,其中两家是独角兽(估值超过 10 亿美元的初创公司)和两家小型企业。这些企业都没有正式承认存在安全问题,Stykas 也隐瞒了他们的名字。
尽管支付赎金并不能立即帮助需要恢复数据访问的公司,但联邦调查局等当局警告不要这样做,以防止支持网络犯罪。结果表明,勒索软件团伙很容易受到与大公司相同的基本安全缺陷的影响,这为执法部门提供了针对这些犯罪黑客的潜在途径。执法部门在阻止勒索软件操作和获取解密密钥方面取得了不同程度的成功。