Un investigador de seguridad afirma que seis empresas se salvaron de tener que pagar demandas de rescate potencialmente elevadas, en parte gracias a fallas de seguridad nuevas encontradas en la infraestructura web utilizada por las propias bandas de ransomware.
Dos empresas recibieron las claves de descifrado para descifrar sus datos sin tener que pagar un rescate a los ciberdelincuentes, y cuatro empresas de cifrado pirateadas fueron alertadas antes de que la banda de ransomware pudiera comenzar a cifrar sus archivos, lo que marca raras victorias para las organizaciones víctimas atacadas.
Vangelis Stykas, investigador de seguridad y director de tecnología de Atropos.ai, se embarcó en un proyecto de investigación para identificar los servidores de comando y control detrás de más de 100 grupos centrados en el ransomware y la extorsión y sus sitios de filtración de datos. El objetivo era identificar fallas que pudieran usarse para desenmascarar información sobre las propias bandas, incluidas sus víctimas.
Stykas le dijo a TechCrunch antes de su charla en la conferencia de seguridad Black Hat en Las Vegas el jueves, encontró varias vulnerabilidades simples en los paneles de control web utilizados por al menos tres bandas de ransomware, que fueron suficientes para comprometer el funcionamiento interno de las operaciones mismas.
Las bandas de ransomware generalmente ocultan sus identidades y operaciones en La red oscurauna versión anónima de la web accesible a través del navegador Tor, lo que dificulta identificar dónde están los servidores del mundo real que se utilizan para ciberataques y almacenamiento de datos robados.
Pero los errores de codificación y de seguridad en los sitios de las filtraciones, que las bandas de ransomware utilizan para extorsionar a sus víctimas mediante la publicación de los archivos robados, permitieron a Stykas echar un vistazo al interior sin tener que iniciar sesión y extraer información sobre cada operación. En algunos casos, los errores expusieron las direcciones IP de los servidores del sitio de la filtración, que podrían utilizarse para rastrear sus ubicaciones en el mundo real.
Algunos de los errores incluyen que la banda de ransomware Everest use una contraseña predeterminada para acceder a sus bases de datos SQL de back-end y exponga sus directorios de archivos y puntos finales de API expuestos que revelaron los objetivos de los ataques de la banda de ransomware BlackCat mientras estaban en progreso.
Stykas dijo que también utilizó un insecto, conocido como referencia de objeto directo inseguro o IDORpara recorrer todos los mensajes de chat de un administrador del ransomware Mallox, que contenían dos claves de descifrado que Stykas luego compartió con las empresas afectadas.
El investigador dijo a TechCrunch que dos de las víctimas eran pequeñas empresas y las otras cuatro eran empresas de criptomonedas, dos de ellas consideradas unicornios (Empresas emergentes con valoraciones superiores a mil millones de dólares), aunque se negó a nombrar las empresas.
Agregó que ninguna de las empresas a las que notificó ha revelado públicamente los incidentes de seguridad y no descartó revelar los nombres de las empresas en el futuro.
El FBI y otras autoridades gubernamentales han defendido durante mucho tiempo a las víctimas del ransomware. No pagar el rescate de los hackerspara evitar que los actores maliciosos se beneficien de sus ciberataques. Pero el consejo ofrece pocos recursos para las empresas que necesitan recuperar el acceso a sus datos o no pueden operar sus negocios.
Las fuerzas del orden han tenido cierto éxito a la hora de comprometer a las bandas de ransomware para obtener su banco de claves de descifrado y privar a los cibercriminales de sus fuentes de ingresos ilegales, aunque con resultados mixtos.
La investigación muestra que las bandas de ransomware pueden ser susceptibles a muchos de los mismos problemas de seguridad simples que las grandes empresas, lo que proporciona una vía potencial para que las fuerzas del orden ataquen a los piratas informáticos criminales. que están muy fuera del alcance jurisdiccional.
