Sicherheitslücken auf Ransomware-Leak-Sites bewahrten sechs Unternehmen vor der Zahlung hoher Lösegeldforderungen

Ein Sicherheitsforscher sagt, dass sechs Unternehmen davor bewahrt wurden, möglicherweise hohe Lösegeldforderungen zu zahlen. Dies sei zum Teil darauf zurückzuführen, dass in der von den Ransomware-Banden selbst verwendeten Web-Infrastruktur neuartige Sicherheitsmängel gefunden wurden.

Zwei Unternehmen erhielten die Entschlüsselungsschlüssel, um ihre Daten zu entschlüsseln, ohne den Cyberkriminellen ein Lösegeld zahlen zu müssen, und vier gehackte Krypto-Unternehmen wurden alarmiert, bevor die Ransomware-Bande mit der Verschlüsselung ihrer Dateien beginnen konnte, was für die angegriffenen Opferorganisationen einen seltenen Erfolg darstellt.

Vangelis Stykas, Sicherheitsforscher und technischer Leiter bei Atropos.ai, startete ein Forschungsprojekt, um die Befehls- und Kontrollserver hinter über 100 auf Ransomware und Erpressung ausgerichteten Gruppen und ihren Datenleck-Sites zu identifizieren. Ziel war es, Schwachstellen zu finden, die genutzt werden könnten, um Informationen über die Banden selbst, einschließlich ihrer Opfer, aufzudecken.

Stykas sagte gegenüber Tech vor seinem Vortrag auf der Black Hat-Sicherheitskonferenz in Las Vegas am Donnerstag, dass er mehrere einfache Schwachstellen in den von mindestens drei Ransomware-Banden verwendeten Web-Dashboards gefunden habe, die ausreichten, um die Funktionsweise der Operationen selbst zu kompromittieren.

Ransomware-Banden verbergen ihre Identität und ihre Aktivitäten normalerweise im Darknet, einer anonymen Version des Internets, auf die über den Tor-Browser zugegriffen werden kann. Dadurch ist es schwierig zu ermitteln, wo sich die realen Server befinden, die für Cyberangriffe und die Speicherung gestohlener Daten verwendet werden.

Doch Codefehler und Sicherheitslücken in den Leak-Sites, die von Ransomware-Banden genutzt werden, um ihre Opfer durch die Veröffentlichung der gestohlenen Dateien zu erpressen, ermöglichten es Stykas, einen Blick hineinzuwerfen, ohne sich anmelden zu müssen, und Informationen zu jeder Operation abzurufen. In einigen Fällen legten die Fehler die IP-Adressen der Server der Leak-Site offen, mit denen sich ihre tatsächlichen Standorte ermitteln ließen.

Zu den Fehlern gehört, dass die Everest-Ransomware-Bande ein Standardkennwort für den Zugriff auf ihre Back-End-SQL-Datenbanken verwendete und ihre Dateiverzeichnisse sowie API-Endpunkte offenlegte, die die Ziele der laufenden Angriffe der BlackCat-Ransomware-Bande enthüllten.

Stykas sagte, er habe außerdem einen Fehler namens „Insecure Direct Object Reference“ (IDOR) ausgenutzt, um sämtliche Chat-Nachrichten eines Mallox-Ransomware-Administrators zu durchsuchen. Diese hätten zwei Entschlüsselungsschlüssel enthalten, die Stykas dann an die betroffenen Unternehmen weitergab.

Der Forscher erklärte gegenüber Tech, dass es sich bei zwei der Opfer um Kleinunternehmen und bei den anderen vier um Krypto-Unternehmen gehandelt habe, von denen zwei als „Einhörner“ (Start-ups mit einer Bewertung von über einer Milliarde Dollar) gelten. Er wollte die Namen der Unternehmen allerdings nicht nennen.

Er fügte hinzu, dass keines der von ihm benachrichtigten Unternehmen die Sicherheitsvorfälle öffentlich bekannt gegeben habe und schloss nicht aus, die Namen der Unternehmen in Zukunft bekannt zu geben.

Das FBI und andere Regierungsbehörden raten Opfern von Ransomware schon lange, das Lösegeld der Hacker nicht zu zahlen, um zu verhindern, dass die böswilligen Akteure von ihren Cyberangriffen profitieren. Doch diese Empfehlung bietet den Unternehmen, die wieder Zugriff auf ihre Daten benötigen oder ihre Geschäfte nicht weiterführen können, kaum eine Möglichkeit, sich dagegen zu wehren.

Den Strafverfolgungsbehörden ist es gelungen, Ransomware-Banden zu kompromittieren und an deren Datenbank mit Entschlüsselungsschlüsseln zu gelangen, um so den Cyberkriminellen ihre illegalen Einnahmequellen zu entziehen – allerdings mit gemischten Ergebnissen.

Die Untersuchungen zeigen, dass Ransomware-Banden für viele der gleichen einfachen Sicherheitsprobleme anfällig sein können wie große Unternehmen. Dies bietet den Strafverfolgungsbehörden eine potenzielle Möglichkeit, kriminelle Hacker ins Visier zu nehmen, die sich weit außerhalb der Reichweite der Justiz befinden.

tch-1-tech