Un investigador de seguridad afirma que seis empresas se salvaron de tener que pagar cuantiosos rescates, en parte gracias a los fallos de seguridad encontrados en la infraestructura web utilizada por las propias bandas de ransomware.
Dos empresas recibieron las claves para descifrar sus datos sin tener que pagar un rescate a los ciberdelincuentes, y cuatro empresas de criptomonedas pirateadas fueron alertadas antes de que la banda de ransomware pudiera empezar a cifrar sus archivos, lo que supuso una rara victoria para las organizaciones víctimas.
Vangelis Stykas, investigador de seguridad y director de tecnología de Atropos.ai, se embarcó en un proyecto de investigación para identificar los servidores de mando y control de más de 100 grupos dedicados al ransomware y la extorsión y sus sitios de filtración de datos. El objetivo era identificar fallos que pudieran utilizarse para desenmascarar información sobre las propias bandas, incluidas sus víctimas.
Stykas dijo antes de su charla en la conferencia de seguridad Black Hat en Las Vegas el jueves que encontró varias vulnerabilidades simples en los tableros web utilizados por al menos tres bandas de ransomware, que eran suficientes para comprometer el funcionamiento interno de las propias operaciones.
Las bandas de ransomware suelen ocultar sus identidades y operaciones en la Dark Web, una versión anónima de la web accesible a través del navegador Tor, que dificulta la identificación de dónde se encuentran los servidores del mundo real que se utilizan para los ciberataques y el almacenamiento de los datos robados.
Pero los errores de codificación y los fallos de seguridad de los sitios de filtración, que las bandas de ransomware utilizan para extorsionar a sus víctimas publicando sus archivos robados, permitieron a Stykas asomarse al interior sin tener que iniciar sesión y extraer información sobre cada operación. En algunos casos, los fallos dejaban al descubierto las direcciones IP de los servidores de los sitios de filtración, lo que permitía rastrear su ubicación en el mundo real.
Algunos de los fallos incluyen el uso por parte de la banda de ransomware Everest de una contraseña predeterminada para acceder a sus bases de datos SQL back-end, y la exposición de sus directorios de archivos, y puntos finales de API expuestos que revelaron los objetivos de los ataques de la banda de ransomware BlackCat mientras estaban en curso.
Stykas dijo que también utilizó un error, conocido como referencia directa insegura a objetos, o IDOR, para recorrer todos los mensajes de chat de un administrador del ransomware Mallox, que contenían dos claves de descifrado que Stykas compartió después con las empresas afectadas.
El investigador dijo que dos de las víctimas eran pequeñas empresas y las otras cuatro eran criptomonedas, dos de ellas consideradas unicornios(startups con valoraciones superiores a 1.000 millones de dólares), aunque se negó a nombrarlas.
Añadió que ninguna de las empresas a las que notificó ha revelado públicamente los incidentes de seguridad, y no descartó revelar los nombres de las empresas en el futuro.
El FBI y otras autoridades gubernamentales llevan tiempo recomendando a las víctimas de ransomware que no paguen el rescate a los hackers, para evitar que los malintencionados se beneficien de sus ciberataques. Pero este consejo ofrece pocas posibilidades de recurso a las empresas que necesitan recuperar el acceso a sus datos o no pueden hacer funcionar su negocio.
Las fuerzas de seguridad han tenido cierto éxito en comprometer a las bandas de ransomware para obtener su banco de claves de descifrado y privar a los ciberdelincuentes de sus fuentes de ingresos ilegales, aunque con resultados dispares.
La investigación muestra que las bandas de ransomware pueden ser susceptibles de sufrir muchos de los mismos problemas de seguridad simples que las grandes empresas, lo que proporciona una vía potencial para que las fuerzas del orden ataquen a los piratas informáticos criminales que están lejos del alcance jurisdiccional.