Beveiligingsonderzoeker Vangelis Stykas heeft verschillende kwetsbaarheden in de websites van ransomwaregroepen gevonden, waardoor het mogelijk was om decryptiesleutels te bemachtigen en die aan slachtoffers te geven. De getroffen organisaties konden zo zonder de criminelen te betalen toch hun bestanden ontsleutelen. Stykas gaf gisteren tijdens de Black Hat USA 2024 conferentie in Las Vegas een presentatie over zijn activiteiten.

Veel ransomwaregroepen werken met websites waarop ze de namen van hun slachtoffers publiceren. Wanneer slachtoffers geen losgeld betalen dreigen de aanvallers om bij de ransomware-aanval gestolen data via de website openbaar te maken. Stykas ontdekte in de websites van verschillende ransomwaregroepen meerdere 'eenvoudige kwetsbaarheden' waardoor allerlei informatie te achterhalen was, zoals het ip-adres van de webserver.

De websites van ransomwaregroepen draaien op het Tor-netwerk, waardoor het ip-adres niet zichtbaar is. Tevens bleek één groep gebruik te maken van een standaard wachtwoord voor de back-end SQL-databases en waren bestandsdirectories toegankelijk. Door middel van een IDOR-kwetsbaarheid kon Stykas alle berichten bekijken die een beheerder van de Mallox-ransomware had verstuurd. Daarin vond de onderzoeker twee decryptiesleutels van slachtoffers, die hij vervolgens met de getroffen organisaties deelde.

In totaal wist de onderzoeker via gevonden kwetsbaarheden zes bedrijven te helpen. Geen van deze bedrijven heeft laten weten slachtoffer van ransomware te zijn geworden. IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.