Seorang peneliti keamanan mengatakan enam perusahaan diselamatkan dari keharusan membayar tuntutan tebusan yang sangat besar, sebagian berkat kelemahan keamanan baru yang ditemukan dalam infrastruktur web yang digunakan oleh geng ransomware itu sendiri.
Dua perusahaan menerima kunci dekripsi untuk menguraikan data mereka tanpa harus membayar tebusan kepada penjahat dunia maya, dan empat perusahaan kripto yang diretas diberi tahu sebelum kelompok ransomware dapat mulai mengenkripsi berkas mereka, yang menandai kemenangan langka bagi organisasi korban yang menjadi sasaran.
Vangelis Stykas, seorang peneliti keamanan dan kepala bagian teknologi di Atropos.ai, memulai sebuah proyek penelitian untuk mengidentifikasi server perintah dan kontrol di balik lebih dari 100 kelompok yang berfokus pada ransomware dan pemerasan serta situs kebocoran data mereka. Tujuannya adalah untuk mengidentifikasi kelemahan yang dapat digunakan untuk mengungkap informasi tentang kelompok itu sendiri, termasuk korban mereka.
Stykas mengatakan kepada TechCrunch sebelum pembicaraannya pada konferensi keamanan Black Hat di Las Vegas pada hari Kamis bahwa ia menemukan beberapa kerentanan sederhana di dasbor web yang digunakan oleh setidaknya tiga geng ransomware, yang cukup untuk membahayakan cara kerja internal operasi itu sendiri.
Geng ransomware biasanya menyembunyikan identitas dan operasinya di web gelapversi web anonim yang dapat diakses melalui peramban Tor, yang mempersulit mengidentifikasi di mana server dunia nyata berada yang digunakan untuk serangan siber dan penyimpanan data curian.
Namun, kesalahan pengkodean dan bug keamanan di situs kebocoran, yang digunakan oleh geng ransomware untuk memeras korbannya dengan menerbitkan file curian mereka, memungkinkan Stykas mengintip ke dalam tanpa harus masuk dan mengekstrak informasi tentang setiap operasi. Dalam beberapa kasus, bug tersebut mengekspos alamat IP server situs kebocoran, yang dapat digunakan untuk melacak lokasi mereka di dunia nyata.
Beberapa bug tersebut antara lain adalah komplotan ransomware Everest yang menggunakan kata sandi default untuk mengakses basis data SQL back-end-nya, dan mengekspos direktori file-nya, serta mengekspos titik akhir API yang mengungkap target serangan komplotan ransomware BlackCat saat sedang berlangsung.
Stykas mengatakan dia juga menggunakan satu bug, dikenal sebagai referensi objek langsung yang tidak aman, atau IDORuntuk menelusuri semua pesan obrolan administrator ransomware Mallox, yang berisi dua kunci dekripsi yang kemudian dibagikan Stykas kepada perusahaan yang terkena dampak.
Peneliti tersebut mengatakan kepada TechCrunch bahwa dua korbannya adalah bisnis kecil dan empat lainnya adalah perusahaan kripto, dengan dua di antaranya dianggap unicorn (perusahaan rintisan dengan valuasi lebih dari $1 miliar), meskipun ia menolak menyebutkan nama perusahaan tersebut.
Ia menambahkan, dari semua perusahaan yang ia beri tahu, belum ada satu pun yang mengungkapkan insiden keamanan tersebut ke publik, dan tidak menutup kemungkinan akan mengungkapkan nama-nama perusahaan tersebut di masa mendatang.
FBI dan otoritas pemerintah lainnya telah lama menganjurkan korban ransomware tidak membayar uang tebusan para peretasuntuk mencegah pelaku kejahatan mengambil keuntungan dari serangan siber mereka. Namun, saran tersebut tidak memberikan banyak jalan keluar bagi perusahaan yang perlu mendapatkan kembali akses ke data mereka atau tidak dapat menjalankan bisnis mereka.
Penegakan hukum telah melihat beberapa keberhasilan dalam mengkompromikan geng ransomware untuk mendapatkan bank kunci dekripsi mereka dan membuat penjahat dunia maya kelaparan dari aliran pendapatan ilegal mereka, meskipun dengan hasil yang beragam.
Penelitian ini menunjukkan bahwa kelompok ransomware rentan terhadap banyak masalah keamanan sederhana yang sama seperti perusahaan besar, sehingga memberikan peluang bagi penegak hukum untuk menargetkan peretas kriminal. yang jauh dari jangkauan yurisdiksi.
