Bir güvenlik araştırmacısı, fidye yazılımı çetelerinin kullandığı web altyapısında bulunan acemi güvenlik açıkları sayesinde altı şirketin potansiyel olarak yüksek fidye taleplerini ödemekten kurtulduğunu söyledi.
İki şirket, siber suçlulara fidye ödemek zorunda kalmadan verilerini çözmek için şifre çözme anahtarlarını aldı ve fidye yazılımı çetesi dosyalarını şifrelemeye başlamadan önce saldırıya uğrayan dört kripto şirketi uyarıldı; bu, hedef alınan kurban kuruluşlar için nadir bir kazanım oldu.
Atropos.ai’de güvenlik araştırmacısı ve baş teknoloji sorumlusu olan Vangelis Stykas, 100’den fazla fidye yazılımı ve gasp odaklı grubun ve veri sızıntısı sitelerinin arkasındaki komuta ve kontrol sunucularını belirlemek için bir araştırma projesine başladı. Amaç, kurbanları da dahil olmak üzere çetelerin kendileri hakkında bilgi ifşa etmek için kullanılabilecek kusurları belirlemekti.
Stykas TechCrunch’a şunları söyledi konuşmasının öncesinde Perşembe günü Las Vegas’ta düzenlenen Black Hat güvenlik konferansında, en az üç fidye yazılımı çetesinin kullandığı web gösterge panellerinde, operasyonların iç işleyişini tehlikeye atmaya yetecek kadar basit güvenlik açıkları bulduğunu söyledi.
Fidye yazılımı çeteleri genellikle kimliklerini ve operasyonlarını Tor tarayıcısı aracılığıyla erişilebilen anonim bir web versiyonu olan karanlık web’de gizlerler. Bu da siber saldırılar ve çalınan verilerin depolanması için kullanılan gerçek dünya sunucularının nerede olduğunu tespit etmeyi zorlaştırır.
Ancak fidye yazılımı çetelerinin kurbanlarını çalınan dosyaları yayınlayarak gasp etmek için kullandığı sızıntı sitelerindeki kodlama hataları ve güvenlik açıkları, Stykas’ın oturum açmadan ve her bir işlem hakkında bilgi çıkarmadan içeri bakmasına izin verdi. Bazı durumlarda, hatalar sızıntı sitesinin sunucularının IP adreslerini ifşa etti ve bu da gerçek dünya konumlarını izlemek için kullanılabilirdi.
Hatalardan bazıları arasında Everest fidye yazılımı çetesinin arka uç SQL veritabanlarına erişmek için varsayılan bir parola kullanması, dosya dizinlerini ifşa etmesi ve BlackCat fidye yazılımı çetesinin saldırıları sırasında hedeflerini açığa çıkaran API uç noktalarını ifşa etmesi yer alıyor.
Stykas, Mallox fidye yazılımı yöneticisinin tüm sohbet mesajlarını taramak için güvenli olmayan doğrudan nesne referansı veya IDOR olarak bilinen bir hatayı kullandığını ve bu hatanın Stykas’ın etkilenen şirketlerle paylaştığı iki şifre çözme anahtarı içerdiğini söyledi.
Araştırmacı TechCrunch’a yaptığı açıklamada, kurbanlardan ikisinin küçük işletmeler, diğer dördünün ise kripto şirketleri olduğunu, bunlardan ikisinin ise unicorn (değerlemesi 1 milyar doların üzerinde olan girişimler) olarak kabul edildiğini söyledi; ancak şirketlerinin isimlerini vermekten kaçındı.
Kendisine bilgi verilen şirketlerin hiçbirinin güvenlik olaylarını kamuoyuyla paylaşmadığını belirten yetkili, gelecekte şirket isimlerinin kamuoyuyla paylaşılabileceğini de sözlerine ekledi.
FBI ve diğer hükümet yetkilileri, kötü niyetli aktörlerin siber saldırılarından kâr elde etmesini önlemek için fidye yazılımı mağdurlarının bilgisayar korsanlarının fidyesini ödememelerini uzun zamandır savunuyor. Ancak tavsiye, verilerine yeniden erişim sağlaması gereken veya işlerini yürütemeyen şirketler için başvurulacak çok az yol sunuyor.
Kolluk kuvvetleri, şifre çözme anahtarlarını ele geçirmek ve siber suçluların yasadışı gelir akışlarından mahrum bırakmak amacıyla fidye yazılımı çetelerini tehlikeye atmada bir miktar başarı elde etti, ancak sonuçlar karışık oldu.
Araştırma, fidye yazılımı çetelerinin büyük şirketlerdekiyle aynı basit güvenlik sorunlarına maruz kalabileceğini gösteriyor ve bu durum kolluk kuvvetlerine, yetki alanının çok ötesindeki suçlu bilgisayar korsanlarını hedef almaları için potansiyel bir yol sağlıyor.