Investigador revela vulnerabilidades en ransomware y salva seis empresas

El hallazgo que salvó a seis empresas

Un investigador de seguridad ha revelado que seis empresas se han librado de tener que pagar importantes demandas de rescate, gracias a fallos de seguridad novatos encontrados en la infraestructura web utilizada por las propias bandas de ransomware. Este descubrimiento no solo es significativo desde el punto de vista de la ciberseguridad, sino que también ofrece un rayo de esperanza para aquellas organizaciones que a menudo se sienten atrapadas por los cibercriminales.

Dos de las empresas afectadas recibieron las claves de descifrado necesarias para recuperar sus datos sin tener que ceder ante las exigencias de los criminales, mientras que otras cuatro, que pertenecen al sector de las criptomonedas, fueron alertadas antes de que las bandas de ransomware pudieran comenzar a cifrar sus archivos. Este tipo de victorias es poco común para las organizaciones que son objeto de ataques.

La investigación de Vangelis Stykas

Vangelis Stykas, investigador de seguridad y director de tecnología en Atropos.ai, emprendió un proyecto de investigación con el objetivo de identificar los servidores de mando y control detrás de más de 100 grupos de ransomware y extorsión, así como de sus sitios de filtración de datos. La intención era descubrir fallos que pudieran ser utilizados para desenmascarar información sobre las bandas, incluyendo sus víctimas.

Durante su investigación, Stykas encontró varias vulnerabilidades simples en los paneles web utilizados por al menos tres bandas de ransomware. Estos errores fueron suficientes para comprometer el funcionamiento interno de las operaciones. Este descubrimiento subraya cómo las bandas de ransomware, que generalmente ocultan su identidad en la dark web, pueden ser igualmente vulnerables a fallos de seguridad.

La oscuridad de la dark web

Las bandas de ransomware suelen operar en la dark web, una versión anónima de Internet accesible a través del navegador Tor. Este entorno dificulta la identificación de los servidores en el mundo real que se utilizan para llevar a cabo ciberataques y almacenar datos robados. Sin embargo, los errores de codificación y los fallos de seguridad en los sitios de filtración, que estas bandas utilizan para extorsionar a sus víctimas publicando archivos robados, permitieron a Stykas asomarse a su funcionamiento interno sin necesidad de iniciar sesión.

Algunos de los errores que encontró fueron alarmantes, como el caso de la banda Everest, que utilizaba una contraseña predeterminada para acceder a sus bases de datos SQL y exponía sus directorios de archivos. También se encontraron puntos finales de API expuestos que revelaban los objetivos de los ataques de la banda BlackCat mientras estaban en curso. Estos errores ponen de manifiesto la falta de atención a la seguridad que puede existir incluso en las organizaciones más temidas del cibercrimen.

La vulnerabilidad en el cibercrimen

Stykas también utilizó un fallo conocido como referencia directa insegura de objeto (IDOR) para acceder a todos los mensajes de chat de un administrador de Mallox, que contenían dos claves de descifrado que luego compartió con las empresas afectadas. Este tipo de vulnerabilidades pone de relieve cómo los grupos de ransomware pueden ser vulnerables a problemas de seguridad simples, al igual que las grandes empresas.

El investigador mencionó que dos de las víctimas eran pequeñas empresas y las otras cuatro eran compañías de criptomonedas, dos de las cuales se consideran unicornios, es decir, startups valoradas en más de 1.000 millones de dólares. Aunque Stykas no reveló los nombres de las empresas, su intervención resultó crucial para evitar que estas organizaciones pagaran rescates a los cibercriminales.

El papel de las autoridades

Las autoridades, como el FBI, han instado a las víctimas de ransomware a no pagar los rescates para evitar que los actores maliciosos se beneficien de sus ataques. Sin embargo, este consejo a menudo deja a las empresas sin muchas opciones para recuperar el acceso a sus datos o para continuar operando. Las fuerzas del orden han logrado cierto éxito al comprometer bandas de ransomware para obtener sus bancos de claves de descifrado, aunque los resultados han sido mixtos.

La investigación de Stykas sugiere que hay oportunidades para que las fuerzas del orden aborden el problema del ransomware. Al identificar y explotar las vulnerabilidades en la infraestructura de estas bandas, se puede crear un camino para desmantelar operaciones criminales que, de otro modo, estarían fuera de su alcance jurisdiccional. Esto representa una nueva estrategia en la lucha contra el cibercrimen, que podría cambiar la dinámica entre las bandas de ransomware y las autoridades.

En resumen, el trabajo de Stykas no solo proporciona un vistazo a las vulnerabilidades dentro del mundo del ransomware, sino que también ofrece una nueva perspectiva sobre cómo las empresas y las autoridades pueden trabajar juntas para hacer frente a esta amenaza en constante evolución. Las lecciones aprendidas de este caso podrían ser aplicadas a futuras investigaciones y esfuerzos para combatir el cibercrimen en el ámbito digital.