นักวิจัยความปลอดภัยไซเบอร์ เผยว่า บริษัท 6 แห่งรอดพ้นจากการจ่ายค่าไถ่ให้กับแก๊ง ransomware หลังพบช่องโหว่ความปลอดภัยง่ายๆ ในเว็บไซต์ที่แก๊งเหล่านี้ใช้เอง
โดย 2 บริษัทได้รับคีย์ถอดรหัสข้อมูลกลับคืนมาโดยไม่ต้องจ่ายค่าไถ่ และอีก 4 บริษัทได้รับการแจ้งเตือนก่อนที่แก๊ง ransomware จะเข้ารหัสไฟล์ของพวกเขา นับเป็นชัยชนะที่หาได้ยากสำหรับองค์กรที่ตกเป็นเป้าหมาย
Vangelis Stykas นักวิจัยความปลอดภัยและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Atropos.ai ได้ทำการวิจัยเพื่อระบุเซิร์ฟเวอร์ควบคุมและสั่งการเบื้องหลังกลุ่ม ransomware และกลุ่มที่เน้นการกรรโชกทรัพย์กว่า 100 กลุ่ม รวมถึงเว็บไซต์ที่พวกเขาใช้เผยแพร่ข้อมูลที่ขโมยมา (data leak sites) โดยมีเป้าหมายเพื่อระบุช่องโหว่ที่สามารถใช้ในการเปิดเผยข้อมูลเกี่ยวกับแก๊งเหล่านี้ รวมถึงเหยื่อของพวกเขา
Stykas กล่าวว่าเขาพบช่องโหว่ที่เรียบง่ายหลายจุดในแดชบอร์ดเว็บที่ใช้โดยแก๊ง ransomware อย่างน้อยสามแก๊ง ซึ่งเพียงพอที่จะทำให้การทำงานภายในของปฏิบัติการเหล่านี้เสียหายได้
โดยปกติแล้ว แก๊ง ransomware จะซ่อนตัวตนและการดำเนินงานของพวกเขาบน dark web ซึ่งเป็นเว็บที่ไม่ระบุตัวตนที่เข้าถึงได้ผ่านเบราว์เซอร์ Tor ทำให้ยากต่อการระบุตำแหน่งของเซิร์ฟเวอร์ในโลกแห่งความเป็นจริงที่ใช้สำหรับการโจมตีทางไซเบอร์และการจัดเก็บข้อมูลที่ถูกขโมย
แต่ข้อผิดพลาดในการเขียนโค้ดและข้อบกพร่องด้านความปลอดภัยในเว็บไซต์ที่ใช้เผยแพร่ข้อมูลที่ขโมยมา ซึ่งแก๊ง ransomware ใช้เพื่อรีดไถเหยื่อของพวกเขาด้วยการเผยแพร่ไฟล์ที่ถูกขโมย ทำให้ Stykas สามารถแอบดูข้อมูลภายในได้โดยไม่ต้องเข้าสู่ระบบ และดึงข้อมูลเกี่ยวกับการดำเนินงานแต่ละครั้งออกมา ในบางกรณี ข้อบกพร่องเหล่านี้เปิดเผยที่อยู่ IP ของเซิร์ฟเวอร์ของเว็บไซต์ ซึ่งสามารถใช้เพื่อติดตามตำแหน่งที่ตั้งจริงของพวกเขาได้
ข้อบกพร่องบางประการรวมถึงแก๊ง ransomware Everest ที่ใช้รหัสผ่านเริ่มต้นสำหรับการเข้าถึงฐานข้อมูล SQL back-end และเปิดเผยไดเร็กทอรีไฟล์ รวมถึงจุดปลาย API ที่เปิดเผยเป้าหมายการโจมตีของแก๊ง ransomware BlackCat ขณะที่กำลังดำเนินการ
Stykas กล่าวว่าเขายังใช้ข้อบกพร่องหนึ่งที่เรียกว่า insecure direct object reference หรือ IDOR เพื่อวนดูข้อความแชททั้งหมดของผู้ดูแลระบบ ransomware Mallox ซึ่งมีคีย์ถอดรหัสสองคีย์ที่ Stykas จากนั้นแชร์กับบริษัทที่ได้รับผลกระทบ
นักวิจัยบอกว่าเหยื่อสองรายเป็นธุรกิจขนาดเล็กและอีกสี่รายเป็นบริษัทคริปโต โดยสองในนั้นถือเป็นยูนิคอร์น (สตาร์ทอัพที่มีมูลค่ากว่า 1 พันล้านดอลลาร์) แม้ว่าเขาจะปฏิเสธที่จะระบุชื่อบริษัทก็ตาม
เขาเสริมว่าไม่มีบริษัทใดที่เขาแจ้งได้เปิดเผยเหตุการณ์ด้านความปลอดภัยต่อสาธารณะ และไม่ได้ตัดความเป็นไปได้ที่จะเปิดเผยชื่อของบริษัทเหล่านี้ในอนาคต
FBI และหน่วยงานรัฐบาลอื่น ๆ ได้สนับสนุนให้เหยื่อของ ransomware ไม่จ่ายค่าไถ่ให้กับแฮกเกอร์มาเป็นเวลานาน เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายได้รับผลกำไรจากการโจมตีทางไซเบอร์ แต่คำแนะนำดังกล่าวไม่ได้ช่วยอะไรมากนักสำหรับบริษัทที่จำเป็นต้องเข้าถึงข้อมูลของตนอีกครั้งหรือไม่สามารถดำเนินธุรกิจของตนได้
การบังคับใช้กฎหมายประสบความสำเร็จบ้างในการทำลายแก๊ง ransomware เพื่อให้ได้คีย์ถอดรหัส แม้ว่าจะได้ผลลัพธ์ที่หลากหลายก็ตาม
งานวิจัยนี้แสดงให้เห็นว่าแก๊ง ransomware อาจมีความเสี่ยงต่อปัญหาความปลอดภัยง่าย ๆ เช่นเดียวกับบริษัทขนาดใหญ่ ซึ่งเป็นช่องทางที่อาจเกิดขึ้นสำหรับการบังคับใช้กฎหมายเพื่อกำหนดเป้าหมายแฮกเกอร์อาชญากรที่อยู่นอกเหนือเขตอำนาจศาล