2min Security

Ransomware-slachtoffers halen data gratis terug door bugs bij hackers

Ransomware-slachtoffers halen data gratis terug door bugs bij hackers

Zes bedrijven zijn ontkomen aan het betalen van losgeld voor een ransomware-aanval, omdat de infrastructuur van de betreffende aanvallers zelf zo lek was als een mandje. Dit blijkt uit onderzoek van Atropos.ai.

Volgens Techcrunch blijkt uit de presentatie tijdens Black Hat USA dat slachtoffers van ransomware-aanvallen soms kunnen ontkomen aan het betalen van losgeld door securityfouten die ransomwarebendes zelf in hun webinfrastructuur maken. De onderzoeker Vangelis Stykas van Atropos.ai onderzocht de C&C-servers van meer dan 100 ransomware- en afpersbendes en de sites waar zij hun gestolen data lekten. Doel hiervan was het identificeren van mogelijke identiteitsfouten die hen meer inzicht konden bieden in wie deze bendes waren en hun mogelijke slachtoffers.

Hackers zelf ook kwetsbaar

Uit het onderzoek bleek dat de webinfrastructuur die deze bendes gebruikten, zelf simpele securityfouten bevatten. Meer specifiek in de webgebaseerde dashboards die de hackers gebruikten.

Hoewel hackers vaak het darkweb gebruiken om hun activiteiten te verhullen, stelden codefouten en security bugs de onderzoeker in staat mee te kijken bij de activiteiten, zonder daarvoor in te loggen. In sommige gevallen waren ook de IP-adressen zichtbaar van de servers waarop hackers hun gestolen data plaatsten. Deze gegevens konden weer worden gebruikt om hun fysieke locaties vast te stellen.

De gevonden bugs waren onder meer een default wachtwoord dat de Everest-ransomwarebende gebruikte voor toegang tot zijn SQL-databases. Verder werden ook de bestandsdirectories en API-endpoints blootgesteld van de BlackCat-ransomwarebende tijdens real-time aanvallen.

Een andere gevonden bug, een zogenoemde ‘insecure direct object reference’ of IDOR hielp bij het lezen van alle chatberichten van een Mallox-ransomware operator. Hierbij werden ook twee codes ontdekt die Stykas van Atropos.ai deelden met slachtoffers om gestolen data te recupereren.

Bedrijven geholpen

Uiteindelijk zorgden deze ontdekkingen ervoor dat twee kleinere bedrijven in staat waren hun data te ontsleutelen voordat zij moesten betalen. Vier andere gehackte cryptobedrijven werden gewaarschuwd voordat ransomwarebendes hun bestanden konden versleutelen.

De nieuwe ontdekkingen geven autoriteiten mogelijk meer kansen ransomwarebendes aan te pakken voordat zij hun kwaadaardige activiteiten kunnen ontplooien. Bovendien laten zij zien dat hackers even kwetsbaar zijn als hun slachtoffers en vaak op dezelfde wijze.

Lees ook: HardBit 4.0 maakt ransomware-campagnes makkelijker dan ooit