image

Ransomwaregroep lekt decryptiesleutels via IDOR-kwetsbaarheid

vrijdag 9 augustus 2024, 14:52 door Redactie, 3 reacties

Beveiligingsonderzoeker Vangelis Stykas heeft verschillende kwetsbaarheden in de websites van ransomwaregroepen gevonden, waardoor het mogelijk was om decryptiesleutels te bemachtigen en die aan slachtoffers te geven. De getroffen organisaties konden zo zonder de criminelen te betalen toch hun bestanden ontsleutelen. Stykas gaf gisteren tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie over zijn activiteiten.

Veel ransomwaregroepen werken met websites waarop ze de namen van hun slachtoffers publiceren. Wanneer slachtoffers geen losgeld betalen dreigen de aanvallers om bij de ransomware-aanval gestolen data via de website openbaar te maken. Stykas ontdekte in de websites van verschillende ransomwaregroepen meerdere 'eenvoudige kwetsbaarheden' waardoor allerlei informatie te achterhalen was, zoals het ip-adres van de webserver.

De websites van ransomwaregroepen draaien op het Tor-netwerk, waardoor het ip-adres niet zichtbaar is. Tevens bleek één groep gebruik te maken van een standaard wachtwoord voor de back-end SQL-databases en waren bestandsdirectories toegankelijk. Door middel van een IDOR-kwetsbaarheid kon Stykas alle berichten bekijken die een beheerder van de Mallox-ransomware had verstuurd. Daarin vond de onderzoeker twee decryptiesleutels van slachtoffers, die hij vervolgens met de getroffen organisaties deelde.

In totaal wist de onderzoeker via gevonden kwetsbaarheden zes bedrijven te helpen. Geen van deze bedrijven heeft laten weten slachtoffer van ransomware te zijn geworden. IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.

Reacties (3)
09-08-2024, 16:15 door Briolet
Een lek is dus niet altijd slecht. (-:
12-08-2024, 09:29 door Anoniem
Die cyber criminelen moeten echt meer aandacht besteden aan cyber security. Zo run je toch geen onderneming. Amateur hour
13-08-2024, 07:33 door Anoniem
Wat een amateurs :D geen segmentatie tussen ongerelateerde onderdelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.