Menurut laporan TechCrunch, Vangelis Stykas, seorang peneliti keamanan dan CTO di Atropos.ai yang menjadi pembicara di Konferensi keamanan Black Hat di Las Vegas mengungkapkan hal ini sebelum pidatonya.
Stykas mengklaim bahwa dua perusahaan menerima kunci dekripsi untuk membuka data mereka tanpa membayar tebusan, sementara empat perusahaan mata uang kripto yang diretas telah diberitahu sebelum kelompok ransomware dapat mulai mengenkripsi berkas mereka.
Peneliti mencatat bahwa dua korban adalah usaha kecil dan empat lainnya adalah perusahaan kripto, dengan dua di antaranya dianggap sebagai unicorn (perusahaan rintisan dengan valuasi lebih dari $1 miliar). Namun, ia menolak menyebutkan nama perusahaan tersebut.
Bagaimana peneliti menemukan bug tersebut
Ia mencoba mengidentifikasi server perintah dan kontrol dari lebih dari 100 kelompok yang berfokus pada ransomware dan pemerasan serta situs kebocoran data mereka. Tujuannya adalah untuk menemukan kerentanan yang dapat mengungkap informasi tentang kelompok tersebut, termasuk detail tentang korban mereka.
Stykas menemukan kerentanan kritis pada panel kontrol daring yang digunakan oleh sedikitnya tiga geng ransomware.
Biasanya, kelompok ransomware beroperasi di balik bayang-bayang web gelap. Namun, dengan memanfaatkan kesalahan pengkodean dan celah keamanan di situs web publik milik geng ransomware, peneliti tersebut berhasil mengungkap informasi sensitif. Informasi ini mencakup lokasi server, data yang dicuri, dan bahkan kunci dekripsi.
Kesalahan yang dilakukan komplotan ransomware seperti menggunakan kata sandi default untuk mengakses basis data backend dan mengekspos direktori file serta titik akhir API mengungkap target serangan komplotan ransomware BlackCat saat sedang berlangsung.
Ia juga menggunakan bug bernama IDOR untuk memindai pesan obrolan administrator ransomware lain dan menemukan kunci dekripsi yang dibagikan ke perusahaan-perusahaan yang terdampak.
