Site icon Techbusiness

I ricercatori stanno sfruttando le vulnerabilità dei siti degli hacker per salvare le aziende dagli attacchi informatici

I ricercatori stanno sfruttando le vulnerabilità dei siti degli hacker per salvare le aziende dagli attacchi informatici thumbnail

A volte anche i migliori criminali informatici del mondo commettono banali errori di programmazione che introducono vulnerabilità nei loro malware e siti leak sul dark web. Vulnerabilità che possono essere sfruttate da ricercatori ed esperti di cybersecurity per mandare a monte le operazioni dei criminali e salvare le aziende da pericolosi attacchi informatici.

Grazie al lavoro di Vangelis Stykas, ricercatore di sicurezza informatica e CTO presso Atropos.ai, ben sei organizzazioni hanno evitato di essere compromesse da attacchi ransomware. Due di queste hanno infatti ottenuto le chiavi per decifrare i dati colpiti senza dover pagare alcun riscatto, mentre le altre quattro sono state allertate prima che il ransomware potesse cifrare i loro file.

L’obiettivo? Identificare vulnerabilità che possono essere utilizzate contro i criminali informatici

I siti leak creati e utilizzati dai criminali informatici, esattamente come quelli delle organizzazioni che intendono colpire, possono presentare delle vulnerabilità potenzialmente abusabili. Nonostante queste gang nascondano le loro identità e le loro operazioni nel dark web, la versione anonima e “nascosta” del web accessibile tramite il browser Tor, gli esperti di cybersecurity possono comunque far leva sulle vulnerabilità dei loro siti per de-anonimizzarli. Ed è proprio questo l’obiettivo di Stykas, che nel corso delle sue ricerche ha individuato i server di comando e controllo di più di un centinaio di gruppi ransomware.

Il ricercatore ha dichiarato di aver trovato molteplici vulnerabilità nelle dashboard web di almeno tre gruppi ransomware, abbastanza per permettergli di compromettere l’operatività interna delle gang criminali. Stykas ha infatti sfruttato gli errori di programmazione presenti nei siti leak, che i criminali utilizzano per estorcere le loro vittime pubblicando informazioni sensibili e dati rubati, per accedere ai sistemi interni della rete criminale. In alcuni casi, le vulnerabilità espongono gli indirizzi IP dei server che fanno da host per i siti leak, che possono essere utilizzati per rintracciare fisicamente i criminali.

Naviga in sicurezza con Nord VPN – Ottieni da questo link il 72% di Sconto

Rappresentazione astratta della sicurezza informatica

Errori di programmazione semplici e fatali

Stykas ha dichiarato che uno dei gruppi criminali da lui analizzato, la gang ransomware Everest, utilizzava password di default per accedere ai database SQL di back-end, esponendo file sensibili. Gli endpoint API esposti della gang ransomware BlackCat, invece, hanno consentito al ricercatore di rivelare gli obiettivi degli attacchi prima che il gruppo potesse agire.

Inoltre, Stykas ha dichiarato di aver sfruttato un bug, conosciuto con il nome di “insecure direct object reference” (IDOR), per estrarre le chiavi di decrittazione dai messaggi privati di un amministratore di un sito leak. Stykas ha in seguito condiviso le chiavi con le aziende colpite dal gruppo ransomware che operava il sito.

Il ricercatore ha detto che due delle vittime erano piccole imprese, mentre le altre quattro aziende cripto, con due di esse considerate unicorni, ossia startup con valutazioni superiori a 1 miliardo di dollari, sebbene abbia rifiutato di nominare le aziende. Ha aggiunto che nessuna delle aziende da lui notificate ha rivelato pubblicamente gli incidenti di sicurezza e non ha escluso di rendere noti i nomi delle aziende in futuro.

La ricerca di Stykas è solo l’inizio di una lunga battaglia contro i gruppi ransomware

L’FBI e altre autorità governative da tempo asseriscono l’importanza di non pagare i riscatti imposti dai gruppi cyber criminali, per prevenire il finanziamento di ulteriori attacchi. Tuttavia non sempre ciò è possibile, in quanto alcune aziende devono recuperare i dati persi in qualsiasi modo per poter riprendere le loro operazioni.

Nonostante i risultati siano contrastanti, le forze dell’ordine hanno ottenuto alcuni successi nel compromettere le operazioni dei gruppi ransomware. Queste sono infatti riuscite a sottrarre ai cyber criminali le loro banche di chiavi di decrittazione e quindi la loro principale fonte di reddito.

La ricerca condotta da Stykas dimostra come i gruppi ransomware siano suscettibili ad attacchi informatici resi possibili da semplici vulnerabilità tanto quanto lo sono le aziende che intendono colpire. Ciò fornisce un modo alternativo per le forze dell’ordine di colpire bersagli criminali ben al di fuori della portata giurisdizionale.

Questo articolo è stato tratto da “Security bugs in ransomware leak sites helped save six companies from paying hefty ransoms” di TechCrunch.

Exit mobile version