ساعدت الأخطاء الأمنية في مواقع تسرب برامج الفدية في إنقاذ ست شركات من دفع فدية ضخمة
يقول أحد الباحثين الأمنيين إن ست شركات تم إنقاذها من الاضطرار إلى دفع طلبات فدية ضخمة محتملة، ويرجع ذلك جزئيًا إلى العيوب الأمنية الناشئة الموجودة في البنية التحتية للويب التي تستخدمها عصابات برامج الفدية نفسها.
تلقت شركتان مفاتيح فك التشفير لفك تشفير بياناتهما دون الاضطرار إلى دفع فدية لمجرمي الإنترنت، وتم تنبيه أربع شركات تشفير مخترقة قبل أن تتمكن عصابة برامج الفدية من البدء في تشفير ملفاتها، مما يمثل انتصارات نادرة للمنظمات المتضررة المستهدفة.
انطلق فانجيليس ستاكاس، الباحث الأمني وكبير مسؤولي التكنولوجيا في Atropos.ai، في مشروع بحثي لتحديد خوادم القيادة والتحكم وراء أكثر من 100 مجموعة تركز على برامج الفدية والابتزاز ومواقع تسرب البيانات الخاصة بها. وكان الهدف هو تحديد العيوب التي يمكن استخدامها لكشف المعلومات عن العصابات نفسها، بما في ذلك ضحاياها.
أخبر Stykas موقع TechCrunch قبل حديثه في مؤتمر Black Hat الأمني في لاس فيجاس يوم الخميس، أنه وجد العديد من نقاط الضعف البسيطة في لوحات معلومات الويب التي تستخدمها ثلاث عصابات برامج الفدية على الأقل، والتي كانت كافية لاختراق الأعمال الداخلية للعمليات نفسها.
عادةً ما تخفي عصابات برامج الفدية هوياتها وعملياتها على شبكة الإنترنت المظلمة، وهي نسخة مجهولة من الويب يمكن الوصول إليها من خلال متصفح Tor، مما يجعل من الصعب تحديد مكان خوادم العالم الحقيقي التي تُستخدم للهجمات الإلكترونية وتخزين البيانات المسروقة.
لكن أخطاء الترميز والأخطاء الأمنية في مواقع التسريب، والتي تستخدمها عصابات برامج الفدية لابتزاز ضحاياها من خلال نشر ملفاتهم المسروقة، سمحت لـ Stykas بإلقاء نظرة خاطفة على داخلها دون الحاجة إلى تسجيل الدخول واستخراج معلومات حول كل عملية. وفي بعض الحالات، كشفت الأخطاء عن عناوين IP الخاصة بخوادم موقع التسريب، والتي يمكن استخدامها لتتبع مواقعهم الحقيقية.
تشمل بعض الأخطاء عصابة Everest Ransomware التي تستخدم كلمة مرور افتراضية للوصول إلى قواعد بيانات SQL الخلفية الخاصة بها، وكشف أدلة الملفات الخاصة بها، ونقاط نهاية API المكشوفة التي كشفت عن أهداف هجمات عصابة BlackCat Ransomware أثناء التقدم.
قال Stykas إنه استخدم أيضًا خطأً واحدًا، يُعرف باسم مرجع الكائن المباشر غير الآمن، أو IDOR، للتنقل عبر جميع رسائل الدردشة الخاصة بمسؤول برنامج الفدية Mallox، والذي يحتوي على مفتاحي فك التشفير اللذين شاركهما Stykas بعد ذلك مع الشركات المتضررة.
أخبر الباحث موقع TechCrunch أن اثنتين من الضحايا كانتا من الشركات الصغيرة والأربع الأخرى كانت من شركات العملات المشفرة، مع اعتبار اثنتين منها شركات وحيدة القرن (شركات ناشئة تقدر قيمتها بأكثر من مليار دولار)، على الرغم من أنه رفض تسمية الشركات.
وأضاف أن أياً من الشركات التي أخطرها لم تفصح علناً عن الحوادث الأمنية، ولم يستبعد الكشف عن أسماء الشركات مستقبلاً.
ولطالما دعا مكتب التحقيقات الفيدرالي والسلطات الحكومية الأخرى ضحايا برامج الفدية إلى عدم دفع فدية المتسللين، وذلك لمنع الجهات الخبيثة من الاستفادة من هجماتهم الإلكترونية. لكن النصيحة لا تقدم سوى القليل من سبل اللجوء للشركات التي تحتاج إلى استعادة الوصول إلى بياناتها أو التي لا تستطيع إدارة أعمالها.
وقد شهدت سلطات إنفاذ القانون بعض النجاح في اختراق عصابات برامج الفدية من أجل الحصول على مفاتيح فك التشفير الخاصة بها وتجويع مجرمي الإنترنت من مصادر إيراداتهم غير القانونية، وإن كان ذلك بنتائج متباينة.
ويظهر البحث أن عصابات برامج الفدية يمكن أن تكون عرضة للكثير من نفس المشكلات الأمنية البسيطة مثل الشركات الكبرى، مما يوفر وسيلة محتملة لإنفاذ القانون لاستهداف المتسللين الإجراميين البعيدين عن نطاق الولاية القضائية.
