一位安全研究员表示,由于勒索软件团伙自身使用的网络基础设施中存在新手安全漏洞,六家公司得以免除支付高额赎金的可能性。
两家公司获得了解密密钥,解密其数据而无需支付网络罪犯的赎金,另外,四家被黑客攻击的加密公司在勒索软件团伙开始加密其文件之前获得了警告,对于被针对的受害组织来说,这是难得的胜利。
Atropos.ai的首席技术官兼安全研究员Vangelis Stykas展开了一个研究项目,以识别超过100个勒索软件和勒索重点团伙背后的指挥和控制服务器以及其数据泄漏站点。其目的是识别可以用来揭示有关团伙及其受害者的信息的漏洞。
Stykas在周四于拉斯维加斯举办的Black Hat安全会议上发言之前告诉TechCrunch,他发现了至少三个勒索软件团伙使用的网络仪表板中的几个简单漏洞,足以破坏运营的内部工作。
勒索软件团伙通常会隐藏其身份和行动,将其操作放在暗网上,这是通过Tor浏览器访问的匿名网络的版本,这使得很难确定用于网络攻击和存储被盗数据的现实世界服务器的位置。
但泄漏站点中的编码错误和安全漏洞,使得勒索软件团伙可以通过发布其窃取的文件来勒索受害者,允许Stykas无需登录即可窥探内部,并提取有关每个操作的信息。在某些情况下,漏洞暴露了泄漏站点服务器的IP地址,这可以用来追踪其现实世界的位置。
一些漏洞包括Everest勒索软件团伙使用默认密码访问其后端SQL数据库,并暴露其文件目录,以及暴露了BlackCat勒索软件团伙攻击目标的API端点。
Stykas还表示,他还利用了一种被称为不安全直接对象引用或IDOR的漏洞,循环查看了Mallox勒索软件管理员的所有聊天消息,其中包含两个解密密钥,随后Stykas与受影响的公司分享了这些解密密钥。
研究人员告诉TechCrunch,受害者中有两家是小型企业,另外四家是加密公司,其中两家被视为独角兽(估值超过10亿美元的初创公司),尽管他拒绝透露这些公司的名称。
他补充说,他通知的公司中没有任何一家公开披露了安全事件,并未排除将来披露这些公司的可能性。
联邦调查局和其他政府当局长期以来一直建议勒索软件的受害者不要支付黑客的赎金,以防止恶意行为者从其网络攻击中获利。但这些建议对于需要恢复对其数据访问或无法运营其业务的公司而言提供了很少的救济措施。
执法部门已经成功地破坏了一些勒索软件团伙,从而获得他们的解密密钥库,以使网络罪犯的非法收入渠道枯竭,尽管结果参差不齐。
该研究表明,勒索软件团伙可能会受到与大公司一样简单的安全问题的影响,为执法机构提供了一个潜在途径,用以打击远处不受管辖的犯罪黑客。
