Según un informe de TechCrunch, Vangelis Stykas, investigador de seguridad y director de tecnología de Atropos.ai, que fue orador en el Conferencia sobre seguridad Black Hat en Las Vegas reveló esto antes de su discurso.
Stykas afirmó que dos empresas recibieron claves de descifrado para desbloquear sus datos sin pagar el rescate, mientras que cuatro empresas de criptomonedas pirateadas fueron alertadas antes de que el grupo de ransomware pudiera comenzar a cifrar sus archivos.
El investigador señaló que dos de las víctimas eran pequeñas empresas y las otras cuatro eran empresas de criptomonedas, dos de ellas consideradas unicornios (startups con valoraciones superiores a los mil millones de dólares). Sin embargo, se negó a nombrar a las empresas.
Cómo el investigador encontró los errores
Estaba intentando identificar los servidores de comando y control de más de 100 grupos dedicados al ransomware y la extorsión, así como los sitios de filtración de datos. El objetivo era encontrar vulnerabilidades que pudieran exponer información sobre las bandas, incluidos detalles sobre sus víctimas.
Stykas descubrió vulnerabilidades críticas en los paneles de control en línea utilizados por al menos tres bandas de ransomware.
Por lo general, los grupos de ransomware operan en las sombras de la dark web. Sin embargo, al explotar errores de codificación y fallas de seguridad en los sitios web públicos de las bandas de ransomware, el investigador pudo descubrir información confidencial, como la ubicación de servidores, datos robados e incluso claves de descifrado.
Los errores de las bandas de ransomware, como el uso de una contraseña predeterminada para acceder a su base de datos backend y la exposición de directorios de archivos, así como puntos finales de API, revelaron los objetivos de los ataques de la banda de ransomware BlackCat mientras estaban en curso.
También utilizó un error llamado IDOR para escanear los mensajes de chat de otro administrador de ransomware, donde encontró claves de descifrado que se compartieron con las empresas afectadas.