Bir güvenlik araştırmacısı, kısmen fidye yazılımı çeteleri tarafından kullanılan web altyapısında bulunan yeni güvenlik kusurları sayesinde altı şirketin potansiyel olarak ağır fidye talepleri ödemek zorunda kalmaktan kurtulduğunu söyledi.
İki şirket, siber suçlulara fidye ödemek zorunda kalmadan verilerini çözmek için şifre çözme anahtarlarını aldı ve saldırıya uğrayan dört kripto şirketi, fidye yazılımı çetesi dosyalarını şifrelemeye başlamadan önce uyarıldı ve bu, hedeflenen kurban kuruluşlar için nadir kazançlara işaret oldu.
Atropos.ai’de güvenlik araştırmacısı ve baş teknoloji sorumlusu olan Vangelis Stykas, 100’den fazla fidye yazılımı ve gasp odaklı grubun ve bunların veri sızıntısı sitelerinin arkasındaki komuta ve kontrol sunucularını belirlemek için bir araştırma projesi başlattı. Amaç, kurbanları da dahil olmak üzere çetelerin kendileri hakkındaki bilgilerin maskesini düşürmek için kullanılabilecek kusurları belirlemekti.
Stykas, Perşembe günü Las Vegas’taki Black Hat güvenlik konferansındaki konuşması öncesinde TechCrunch’a, en az üç fidye yazılımı çetesi tarafından kullanılan web kontrol panellerinde, operasyonların iç işleyişini tehlikeye atmaya yetecek birkaç basit güvenlik açığı bulduğunu söyledi.
Fidye yazılımı çeteleri genellikle kimliklerini ve operasyonlarını, internetin Tor tarayıcısı aracılığıyla erişilebilen anonim bir versiyonu olan karanlık ağda gizler; bu da, siber saldırılar ve çalınan verilerin depolanması için kullanılan gerçek dünya sunucularının nerede olduğunu belirlemeyi zorlaştırır.
Ancak fidye yazılımı çetelerinin çalınan dosyalarını yayınlayarak kurbanlarına şantaj yapmak için kullandıkları sızıntı sitelerindeki kodlama hataları ve güvenlik hataları, Stykas’ın oturum açmaya ve her operasyon hakkında bilgi almaya gerek kalmadan içeriye göz atmasına olanak tanıdı. Bazı durumlarda hatalar, sızıntı yapan sitenin sunucularının IP adreslerini açığa çıkardı ve bu adresler, sitelerin gerçek dünyadaki konumlarını izlemek için kullanılabilir.
Hatalardan bazıları, Everest fidye yazılımı çetesinin arka uç SQL veritabanlarına erişmek için varsayılan bir parola kullanması, dosya dizinlerini açığa çıkarması ve BlackCat fidye yazılımı çetesinin saldırıları devam ederken hedeflerini ortaya çıkaran açık API uç noktalarını içeriyor.
Stykas ayrıca, Mallox fidye yazılımı yöneticisinin tüm sohbet mesajları arasında geçiş yapmak için güvenli olmayan doğrudan nesne referansı veya IDOR olarak bilinen bir hatayı kullandığını ve Stykas’ın daha sonra etkilenen şirketlerle paylaştığı iki şifre çözme anahtarını içerdiğini söyledi.
Araştırmacı TechCrunch’a kurbanlardan ikisinin küçük işletmeler, diğer dördünün ise kripto şirketleri olduğunu, bunlardan ikisinin tek boynuzlu at (değerlemesi 1 milyar doların üzerinde olan start-up’lar) olarak değerlendirildiğini ancak şirketlerin isimlerini vermeyi reddettiğini söyledi.
Yetkili, bildirdiği şirketlerin hiçbirinin güvenlik olaylarını kamuoyuna açıklamadığını ve gelecekte şirketlerin isimlerini açıklamayı dışlamadığını da sözlerine ekledi.
FBI ve diğer hükümet yetkilileri, kötü niyetli aktörlerin siber saldırılardan kâr elde etmesini önlemek amacıyla uzun süredir fidye yazılımı kurbanlarının bilgisayar korsanlarına fidye ödememelerini savunuyor. Ancak bu tavsiye, verilerine yeniden erişmesi gereken veya işlerini yürütemeyen şirketlere çok az başvuru yolu sunuyor.
Kolluk kuvvetleri, şifre çözme anahtarlarını ele geçirmek ve siber suçluları yasa dışı gelir akışlarından mahrum bırakmak amacıyla fidye yazılımı çetelerinin güvenliğini aşma konusunda bir miktar başarı elde etti; ancak bu, karışık sonuçlar doğurdu.
Araştırma, fidye yazılımı çetelerinin büyük şirketlerle aynı basit güvenlik sorunlarına karşı duyarlı olabileceğini ve kolluk kuvvetlerinin yargı yetkisinin çok ötesindeki suçlu bilgisayar korsanlarını hedef alması için potansiyel bir yol sağladığını gösteriyor.
Kaynak: https://techcrunch.com/2024/08/08/security-bugs-in-ransomware-leak-sites-helped-save-six-companies-from-paying-hefty-ransoms/