100 часов жизни: хакер обыграл вымогателей их же оружием
Специалист предотвратил кибератаки на несколько крупных компаний.
Исследователь безопасности предотвратил серьёзные финансовые потери шести компаний, которые могли стать жертвами кибератак. Технический директор Atropos.ai Вангелис Стикас обнаружил уязвимости в инфраструктуре нескольких групп вымогателей, что позволило ему проникнуть в системы хакеров и помочь компаниям.
Две организации получили ключи для расшифровки данных без необходимости платить хакерам, а четыре криптовалютные компании были предупреждены о готовящихся атаках до того, как их файлы успели зашифровать. Такие действия стали возможны благодаря простым, но серьёзным ошибкам в коде, допущенным хакерами.
Стикас проводил исследование, направленное на выявление серверов, которые используют более 100 групп, специализирующихся на вымогательстве и утечке данных. Стикас обнаружил несколько критических уязвимостей в веб-интерфейсах, которыми пользовались как минимум 3 группы вымогателей. Ошибки позволили проникнуть во внутренние системы хакеров и получить доступ к ценным данным о хакерских операциях.
Одной из таких ошибок стало использование группировкой Everest пароля по умолчанию для доступа к своим SQL-базам данных. Другой пример — незащищенные API-интерфейсы, которые обнажили цели атак группы BlackCat. В некоторых случаях ошибки раскрывали IP-адреса серверов хакеров, что дает возможность отследить их реальное местоположение.
Стикас также использовал уязвимость IDOR, чтобы получить доступ ко всем сообщениям в чате администратора группы Mallox. В сообщениях содержались 2 ключа для расшифровки данных, которые Стикас позже передал пострадавшим компаниям. Также исследователь смог выявить нескольких членов группы.
В числе затронутых оказались как малые предприятия, так и крупные криптовалютные компании с оценкой более миллиарда долларов. Несмотря на это, компании пока не стали публично раскрывать информацию о произошедших инцидентах, хотя Стикас не исключил, что названия компаний могут быть обнародованы в будущем.
Однако, несмотря на свои успехи, Стыкас сталкивается и с негативными последствиями своей работы. Он рассказал, что в последние 2 года стал получать уведомления от Google о том, что правительственные хакеры проявляют к нему интерес. Это говорит о том, что действия исследователя вызывают беспокойство у киберпреступников.
Хотя атаки на сайты вымогателей могут принести определенные результаты, Стыкас подчеркивает, что это не самый эффективный способ борьбы с киберугрозами. Такие операции могут быть полезными для правительств или крупных компаний со значительными ресурсами. Для обычных пользователей такие атаки - скорее трата времени. За время своей работы Стыкас потратил на такие атаки около 100 часов своего свободного времени