Un chercheur en Sécurité affirme que six entreprises ont été épargnées de l’obligation de payer des rançons potentiellement lourdes, en partie grâce à des failles de sécurité découvertes dans l’infrastructure Web utilisée par les gangs de ransomware eux-mêmes.

Deux entreprises ont reçu les clés de déchiffrement pour déchiffrer leurs données sans avoir à payer de rançon aux cybercriminels, et quatre sociétés de cryptomonnaie piratées ont été alertées avant que le gang de ransomware ne puisse commencer à chiffrer leurs fichiers, marquant ainsi de rares victoires pour les organisations victimes ciblées.

Vangelis Stykas, chercheur en sécurité et directeur de la technologie chez Atropos.ai, s’est lancé dans un projet de recherche visant à identifier les serveurs de commande et de contrôle à l’origine de plus de 100 groupes spécialisés dans les ransomwares et l’extorsion et de leurs sites de fuite de données. L’objectif était d’identifier des failles qui pourraient être utilisées pour démasquer des informations sur les gangs eux-mêmes, y compris leurs victimes.

Stykas a déclaré à fr.techtribune.netavant son discours lors de la conférence sur la sécurité Black Hat à Las Vegas jeudi, il a découvert plusieurs vulnérabilités simples dans les tableaux de bord Web utilisés par au moins trois gangs de ransomwares, ce qui a suffi à compromettre le fonctionnement interne des opérations elles-mêmes.

Les gangs de ransomware cachent généralement leur identité et leurs opérations sur le dark web, une version anonyme du web accessible via le navigateur Tor, ce qui rend difficile l’identification de l’emplacement des serveurs du monde réel utilisés pour les cyberattaques et le stockage des données volées.

Mais les erreurs de codage et les bogues de sécurité dans les sites de fuite, que les gangs de ransomware utilisent pour extorquer leurs victimes en publiant leurs fichiers volés, ont permis à Stykas de jeter un coup d’œil à l’intérieur sans avoir à se connecter et à extraire des informations sur chaque opération. Dans certains cas, les bogues ont exposé les adresses IP des serveurs du site de fuite, qui ont pu être utilisées pour retracer leur emplacement dans le monde réel.

Parmi les bogues, citons l’utilisation d’un mot de passe par défaut par le gang de ransomware Everest pour accéder à ses bases de données SQL back-end, l’exposition de ses répertoires de fichiers et l’exposition de points de terminaison d’API qui ont révélé les cibles des attaques du gang de ransomware BlackCat en cours.

Stykas a déclaré qu’il avait également utilisé un bogue, connu sous le nom de référence directe d’objet non sécurisée, ou IDOR, pour parcourir tous les messages de chat d’un administrateur de ransomware Mallox, qui contenait deux clés de décryptage que Stykas a ensuite partagées avec les entreprises concernées.

Le chercheur a déclaré à fr.techtribune.netque deux des victimes étaient de petites entreprises et les quatre autres étaient des sociétés de cryptomonnaies, deux d’entre elles étant considérées comme des licornes (startups dont la valorisation est supérieure à 1 milliard de dollars), bien qu’il ait refusé de nommer les entreprises.

Il a ajouté qu’aucune des entreprises qu’il a informées n’a divulgué publiquement les incidents de sécurité et n’a pas exclu de divulguer les noms des entreprises à l’avenir.

Le FBI et d’autres autorités gouvernementales préconisent depuis longtemps aux victimes de ransomware de ne pas payer la rançon des pirates, afin d’éviter que les acteurs malveillants ne profitent de leurs cyberattaques. Mais le conseil offre peu de recours aux entreprises qui ont besoin de retrouver l’accès à leurs données ou qui ne peuvent pas exploiter leur entreprise.

Les forces de l’ordre ont connu un certain succès en compromettant des gangs de ransomware afin d’obtenir leur banque de clés de décryptage et d’éloigner les cybercriminels de leurs flux de revenus illégaux, bien qu’avec des résultats mitigés.

L’étude montre que les gangs de ransomware peuvent être confrontés à la plupart des mêmes problèmes de sécurité simples que les grandes entreprises, ce qui offre aux forces de l’ordre un moyen potentiel de cibler des pirates criminels qui sont loin de la portée de la juridiction.