Исследователь безопасности предотвратилсерьёзные финансовые потери шести компаний, которые могли стать жертвами кибератак. Технический директор Atropos.ai Вангелис Стикас обнаружил уязвимости в инфраструктуре нескольких групп вымогателей, что позволило ему проникнуть в системы хакеров и помочь компаниям.
Две организации получили ключи для расшифровки данных без необходимости платить хакерам, а четыре криптовалютные компании были предупреждены о готовящихся атаках до того, как их файлы успели зашифровать. Такие действия стали возможны благодаря простым, но серьёзным ошибкам в коде, допущенным хакерами.
Стикас проводил исследование, направленное на выявление серверов, которые используют более 100 групп, специализирующихся на вымогательстве и утечке данных. Стикас обнаружил несколько критических уязвимостей в веб-интерфейсах, которыми пользовались как минимум 3 группы вымогателей. Ошибки позволили проникнуть во внутренние системы хакеров и получить доступ к ценным данным о хакерских операциях.
Одной из таких ошибок стало использование группировкой Everest пароля по умолчанию для доступа к своим SQL-базам данных. Другой пример – незащищенные API-интерфейсы, которые обнажили цели атак группы BlackCat. В некоторых случаях ошибки раскрывали IP-адреса серверов хакеров, что дает возможность отследить их реальное местоположение.
Стикас также использовал уязвимость IDOR, чтобы получить доступ ко всем сообщениям в чате администратора группы Mallox. В сообщениях содержались 2 ключа для расшифровки данных, которые Стикас позже передал пострадавшим компаниям. Также исследователь смог выявить нескольких членов группы.
В числе затронутых оказались как малые предприятия, так и крупные криптовалютные компании с оценкой более миллиарда долларов. Несмотря на это, компании пока не стали публично раскрывать информацию о произошедших инцидентах, хотя Стикас не исключил, что названия компаний могут быть обнародованы в будущем.
Однако, несмотря на свои успехи, Стыкас сталкивается и с негативными последствиями своей работы. Он рассказал, что в последние 2 года стал получать уведомления от Google о том, что правительственные хакеры проявляют к нему интерес. Это говорит о том, что действия исследователя вызывают беспокойство у киберпреступников.
Хотя атаки на сайты вымогателей могут принести определенные результаты, Стыкас подчеркивает, что это не самый эффективный способ борьбы с киберугрозами. Такие операции могут быть полезными для правительств или крупных компаний со значительными ресурсами. Для обычных пользователей такие атаки – скорее трата времени. За время своей работы Стыкас потратил на такие атаки около 100 часов своего свободного времени