Zes bedrijven gered van ransomware door kwetsbaarheden in websites hackers

Beveiligingsonderzoeker Vangelis Stykas heeft zes bedrijven gered van ransomwarebendes. De chief technology officer van Atropos.ai kon dit doen door simpele beveiligingslekken in de websites van de hackers te gebruiken.

Stykas heeft aan TechCrunch verteld dat hij in het kader van een onderzoeksproject de command-and-control-servers van meer dan 100 ransomware- en afpersingsgerichte groepen heeft proberen identificeren, alsook de websites waar gestolen data wordt gelekt. Het doel was om zwakke plekken te vinden die gebruikt konden worden om informatie over de bendes zelf en hun slachtoffers te bemachtigen.

Tijdens dit onderzoek heeft Stykas meerdere simpele kwetsbaarheden ontdekt in de web-dashboards die door minstens drie ransomwarebendes worden gebruikt. In sommige gevallen onthulden deze bugs de IP-adressen van de servers van de hackers, waardoor de echte locatie kon worden getraceerd.

Specifiek zou de hackersgroep achter de Everest-ransomware een standaard wachtwoord hebben gebruikt voor zijn back-end SQL-database, waardoor Stykas toegang kreeg tot de file directories. Daarnaast zorgden blootgestelde api-eindpunten ervoor dat aanvallen van de BlackCat-ransomwarebende werden onthuld terwijl ze nog bezig waren. Met behulp van een insecure direct object references-bug was het dan weer mogelijk om alle chatberichten van een beheerder van Mallox-ransomware te doorlopen, waarbij twee decryptiesleutels zijn bemachtigd.

Al deze ontdekkingen hebben er uiteindelijk voor gezorgd dat twee bedrijven geen losgeld moesten betalen om terug toegang te krijgen tot hun versleutelde gegevens. Daarnaast zijn vier cryptobedrijven op de hoogte gebracht van een aanval, vooraleer hun data kon worden versleuteld. Twee van deze ondernemingen zouden een marktwaarde van meer dan 1 miljard dollar hebben. Stykas sluit niet uit dat hij in de toekomst onthult over welke bedrijven het gaat, aangezien niemand de beveiligingsincidenten openbaar heeft gemaakt.

Door Idriz Velghe

Redacteur

Feedback • 09-08-2024 18:40
35 • submitter: wildhagen

09-08-2024 • 18:40

35

Submitter: wildhagen

Lees meer

'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record'
'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record' Nieuws van 16 augustus 2024
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline Nieuws van 13 augustus 2024
Microsoft: ransomware wordt verspreid via gerepareerde bug in ESXi-hypervisor
Microsoft: ransomware wordt verspreid via gerepareerde bug in ESXi-hypervisor Nieuws van 1 augustus 2024
Onderzoekers ontdekken 3000 nepaccounts op GitHub die malware verspreiden
Onderzoekers ontdekken 3000 nepaccounts op GitHub die malware verspreiden Nieuws van 29 juli 2024
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023 Nieuws van 22 juli 2024
Twee Russen bekennen betrokkenheid bij LockBit-ransomwaregroep
Twee Russen bekennen betrokkenheid bij LockBit-ransomwaregroep Nieuws van 19 juli 2024
Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord
Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord Nieuws van 19 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Black Hat 2024 Cybercrime Cybersecurity Ransomware

Reacties (35)

-Moderatie-faq
35
35
23
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
themadone 9 augustus 2024 18:52
Kijk, dit is goed nieuws. Gezien de opsporingsdiensten hier weinig aan doen dan maar op deze manier.

Grappig ook dat de eigen systemen van dit soort lui dus net zo lek zijn als die van hun slachtoffers. Het wordt tijd dat we bounties op dit soort ransombendes gaan zetten want blijkbaar hebben ze hun opsec niet op orde en is het enige wat we nodig hebben de juiste motivatie voor de whitehats.
Bor Coördinator Frontpage Admins / FP Powermod
@themadone9 augustus 2024 18:59
Gezien de opsporingsdiensten hier weinig aan doen dan maar op deze manier.
De opsporingsdiensten doen hier juist heel erg veel aan. Met enige regelmaat is er wel iets hierover in het nieuws. Ik denk dat je onderschat hoe lastig het is om (internationale) ransomware groeperingen te pakken.

Zo maar wat links van alleen deze mooie website:

nieuws: Nederlandse politie brengt decryptietool uit voor slachtoffers DoNex-...
nieuws: FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware
nieuws: Autoriteiten arresteren vermoedelijke ontwikkelaar van Hive-ransomware
nieuws: Gerucht: FBI neemt website BlackCat-ransomware in beslag
nieuws: Politiediensten ontmantelen groep achter Ragnar Locker-ransomware
nieuws: Amerikaanse FBI brengt decryptietool uit tegen BlackCat-ransomware
nieuws: VS looft 10 miljoen dollar uit voor tip over medeontwikkelaar Lockbit...

Andere voorbeelden kan je zelf eenvoudig vinden via de search (of Google).

[Reactie gewijzigd door Bor op 9 augustus 2024 19:00]

themadone @Bor9 augustus 2024 19:06
Ok, let me rephrase that.

Opsporingsdiensten kunnen bepaalde zaken niet die andere hackers wel kunnen. Gewoon opblazen die c&c infra.

Daarbuiten vind ik nog steeds dat Nederlandse opsporingsdiensten wel wat beter hun best mogen doen. We weten allemaal welke datacenters vol staan met VPS die gebruikt worden door dit soort lui, zijn hele lijsten van die handig zijn voor in je firewall, maar gewoon eens de deur intrappen en de boel in beslag nemen ho maar.

Het zou al zo simpel kunnen als alleen giraal geld accepteren en legitimatie verplichten bij het huren van een VPS.
wildhagen
@themadone9 augustus 2024 19:10
Daarbuiten vind ik nog steeds dat Nederlandse opsporingsdiensten wel wat beter hun best mogen doen.
Dat doen ze. Het Nederlandse "Team High Tech Crime" staat internationaal behoorlijk hoog aangeschreven. Die mensen weten écht wel waar ze mee bezig zijn, en hebben bergen kennis waar de gemiddelde IT-er alleen maar van kan dromen.

Lees/luister voor een introductie bijvoorbeeld maar eens: .plan: Live Q&A: in gesprek met Team High Tech Crime en win een bijzondere prijs
maar gewoon eens de deur intrappen en de boel in beslag nemen ho maar.
Ja, zo werkt het dus niet in een rechtsstaat. Je zult toch echt dingen juridisch moeten kunnen bewijzen voor een rechter. Alleen maar een deur intrappen en dingen meenemen, omdat "iedereen weet wat er gaande is", is niet iets wat doorgaans met een rechtsstaat geassocieerd wordt...

Hoe vervelend dat ook is soms, en soms zelfs regelrecht frusterend, lijkt het me wél positief dat de politie niet 'zomaar een deur kan intrappen en dingen in beslag nemen'. Want dat kan dan óók met jouw servess zomaar gebeuren die wellicht in hetzelfde datacenter hangen.
SVMartin @wildhagen9 augustus 2024 19:45
Sterker nog: een whitehat mag ook niet zomaar de deur intrappen, want ook hij/zij mag geen strafbaar feit plegen.
Single_Core @SVMartin9 augustus 2024 22:24
De vraag is wat je ziet als "Zomaar de deur intrappen". Bij hacking is dit zeer ruim voor interpretatie vatbaar.
vrow @SVMartin10 augustus 2024 19:05
Nee, maar als jij weet waar de fietsendief woont en waar jouw fiets staat… De politie kan je niet helpen…
Dan gaan we ‘s nachts echt die fietsen wel bevrijden hoor.
Wat gaat die dief doen, aangifte? :-)
‘Mijn gestolen fietsen zijn gestolen’
Het mág niet, maar ik denk dat heel veel mensen het wel zouden doen. En moreel gezien vind ik dat ze dan gelijk hebben ook. Het is het terughalen van je eigen fiets. Of in dit geval, je eigen data.
Blokker_1999
@themadone9 augustus 2024 20:14
En jij denkt dat met even binnen te vallen in een DC je ze zomaar stopt? Natuurlijk niet. Die mannen zijn daarop voorzien. Op enkele uren tijd zijn ze alweer bezig. Identiteitscontroles? Nog nooit van katvangers gehoord? Als ik honderdduizenden euro kan verdienen aan iets, dan kan ik wel een paar duizend euro spenderen aan wat sukkelaars die me hun naam en bankrekening laten lenen.

De servers die tegen gehouden worden in firewalls zijn meestal ook niet de C&C servers, maar eerder proxy systemen die vaak ook nog eens op gehackte systemen draaien.

Voor alles wat jij kan verzinnen zijn de criminelen je al meerdere stappen voor.
Het.Draakje @themadone9 augustus 2024 20:40
De (on)mogelijkheden van misdadigers en bestrijders lopen uiteen.

Een moordenaar kan gewoon rücksichloss mensen ombrengen. Ik zou niet graag willen dat de politie, om wat voor reden dan ook, dat ook maar kan (of mag).

Het simpele feit dat "we" weten dat partij XYZ betrokken kan zijn bij illegale acties geeft niemand het recht om dat maar even als vaststaand feit te beschouwen. Mocht je ooit eens de EU zo gek krijgen om dat toch maar als vanzelfsprekend te aanvaarden dan heb ik nieuws voor je:

Het internet is breder dan de EU. En wat het land waar ik woon betreft: we doen niet aan giraal geld, (maar we hebben wel datacenters). Good luck met jouw simpele oplossing.

Ik raad jou (en iedere EU opsporingsambtenaar) ook niet aan om hier maar even de deur in te trappen. De bevoegde instanties hier hanteren letterlijk de regel "shoot first, ask questions later"'.

Uiteraard kun je e.e.a. benoemen als incompetentie van de Nederlandse opsporingsdiensten. Zelf denk ik dat ze "iets" realistischer zijn in hun verwachtingen dan jij.
kodak
@Bor9 augustus 2024 19:47
Hoeveel ransomwarecriminelen en verwacht je dat er dagelijks actief zijn? 10, 100, 1.000, 10.000, 100.000? Het gaat tegenwoordig om heel veel criminelen. Hoeveel slachtoffers maken die voordat handhavers ze stoppen? Een veelvoud, als ze al gestopt worden. Zeker, handhavers proberen de criminelen aan te pakken. Maar je kunt moeilijk stellen dat als er veel criminelen en slachtoffers zijn dat het dus maar naar ieders mening veel of genoeg is wat men doet. Het staat immers niet zomaar in verhouding tot de hoeveelheid en alsnog zijn mogelijke slachtoffers meer afhankelijk van dit soort onderzoekers dan van de handhaving.
Finraziel @kodak10 augustus 2024 06:28
Maar dat argument werkt twee kanten op. Dat deze onderzoeker dit nu gelukt is is mooi maar het is ook maar een heel klein deel waar dat toevallig bij lukte. En vooral dat standaard wachtwoord, dat was dus gewoon prutswerk van die specifieke criminelen en wil niet zeggen dat een white hat ineens wel even alle bendes op gaat kunnen rollen. En dat is wel wat hierboven beweerd werd, opsporingsinstanties zouden niks doen en deze onderzoeker zou dingen doen wat zij niet kunnen. Nee deze man heeft gewoon ook wat gevonden. Heel mooi maar staat compleet los van de wilde conclusies die er ineens aan verbonden werden.
kodak
@Finraziel10 augustus 2024 12:23
De stelling is niet dat handhavers niets doen. De stelling is dat ze weinig doen, en deze hulp nodig is.

Natuurlijk kun je daarnaast stellen dat dit soort hulp ook niet zomaar genoeg is, maar daar ging het punt niet om. De slachtoffers zouden met alleen handhaving niet zomaar gered zijn.
CivLord @kodak10 augustus 2024 13:34
Het probleem is ook dat het doel van handhavers niet is om een handvol gevallen te voorkomen, maar om degenen achter de aanvallen te stoppen en eventueel te berechten. Deze onderzoeker zal stappen hebben gezet die niet zomaar zijn toegestaan. Ja kan niet zomaar even op een server kijken en communicatie onderscheppen zonder door allerlei hoepels heen te moeten gaan om het in de rechtbank te kunnen gebruiken (niet alleen voor de veroordeling van de hackers, die waarschijnlijk in een land zitten waar ze onbereikbaar zijn, maar ook voor het in beslag nemen van servers of dwangbevelen voor providers etc.).
wildhagen
@themadone9 augustus 2024 19:02
Kijk, dit is goed nieuws. Gezien de opsporingsdiensten hier weinig aan doen dan maar op deze manier.
Opsporingsdiensten, waaronder het Nederlandse Team High Tech Crime, doen hier juist behoorlijk veel aan. Er zijn regelmatig nieuwsberichten dat er weer een netwerk van ransomware-plegers of hackers is opgerold, illegale darknet-marketplaces opgerold etc.

Ze kunnen nu eenmaal niet élke groepering aanpakken, dat is onmogelijk ivm mankracht etc, maar om te stellen dat ze er weinig aan doen doet de waarheid nogal geweld aan.
Frame164 @wildhagen9 augustus 2024 21:10
Ik denk dat de gedachte dat overheid weinig doet eerder komt van de populaire opvatting dat de overheid (inclusief opsporingsdiensten) alleen maar incompetente mensen heeft. Maar zoals eerder gezegd zit er echt ontzettend veel kennis op dit gebied en wordt er ook heel veel gedaan. En buiten deze opsporingsdiensten zou men voor de gein ook eens moeten kijken naar hoe de de ICT bij de KMAR en Defensie is ingericht. Daar kan menig bedrijf wat van leren.
Blokker_1999
@themadone9 augustus 2024 20:10
Het is zoals anderen zeggen: er wordt enorm veel aan gedaan. Maar uiteindelijk heb je als opsporingsdienst geen onbeperkte middelen om er achteraan te gaan, en de opsoringsdiensten moeten zich ook richten op zoveel andere vormen van misdaad.

En net zoals met torrentsites, pak je 1 hacker op, zijn er alweer 3 andere in de plaats gekomen die dat gat van die ene proberen op te vullen. Dat maakt het werk niet gemakkelijker.
Bor Coördinator Frontpage Admins / FP Powermod
@Blokker_19999 augustus 2024 20:55
Maar uiteindelijk heb je als opsporingsdienst geen onbeperkte middelen om er achteraan te gaan, en de opsoringsdiensten moeten zich ook richten op zoveel andere vormen van misdaad.
En last but not least; opsporingsdiensten hebben zich ook te houden aan wet- en regelgeving en staan daardoor soms al op 0-1 achterstand. De tegenstander hoeft en doet dat niet.
CivLord @Bor10 augustus 2024 13:37
Opsporingsdiensten staan standaard al op 0-2 achter en hebben soms één kans om met een driepunter de 'wedstrijd' te winnen.
Orangelights23 @themadone9 augustus 2024 18:59
Opsporingsdiensten doen hier weinig aan? Oh?

Toen ik een klus had bij Europol en ze zelf nog tijdens een incident bij een andere klus heb ingeschakeld, hebben ze samen met lokale opsporingsdiensten en NCSC’s anders bergen aan werk verzet.

- knip -

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 9 augustus 2024 20:46]

cariolive23 @themadone9 augustus 2024 19:14
Gezien de opsporingsdiensten hier weinig aan doen dan maar op deze manier.
Dat je een mening hebt is prima, maar kom dan wel met feiten die laten zien dat jouw mening ergens op is gebaseerd. Nu presenteer je een onderbuikgevoel.

De FBI heeft al mening hacker achterhaald en via de DOJ langdurig achter de tralies weten te krijgen.
Triblade_8472 9 augustus 2024 19:59
Mag dat wel eigenlijk?

In Nederland kan je gearresteerd worden als je je eigen gestolen fiets terugjat.

Zonder rechter, zonder politie een site hacken enz... In Nederland kan je daarvoor voor de rechter komen, zelfs al red je hier grote bedrijven mee.
Blokker_1999
@Triblade_84729 augustus 2024 20:15
Uiteraard mag dit niet. Maar de criminelen gaan geen aangifte tegen je doen en de opsoringsdiensten gaan hier gewoon de laagste prioriteit aan geven.
Azenomei @Triblade_847211 augustus 2024 20:46
Je moet hem ook niet jatten. Je moet jouw fiets gewoon weer meenemen.
genosis 9 augustus 2024 18:52
Het verbaast me eigenlijk dat ransomware makers nog geen smart contracts gebruiken via andere crypto. Dan zou je de keys beschikbaar kunnen maken na betaling zonder handmatige handelingen. Te herleidbaar? Te ingewikkeld is niet echt een issue normaal..
supersnathan94 9 augustus 2024 18:54
“Shit. Ons ‘klantenbestand’ is gelekt. Moeten we nu aangifte doen bij het AP?” - hackers.


Zijn voor zulke organisaties met dergelijke kennis van zaken wel hele standaard fouten hoor. Zou ik toch bijna zeggen dat de software ergens is ingekocht en matig is geconfigureerd.
CivLord @supersnathan9410 augustus 2024 13:43
Zou ik toch bijna zeggen dat de software ergens is ingekocht en matig is geconfigureerd.
Dat is ook vaak het geval. Eén matig slimme hacker zet in elkaar, al dan niet in opdracht van criminelen.
De inkomsten die uit de ransomware te halen zijn zijn beperkt door de hoeveelheid werk die je er zelf in kan steken, maar je kan extra inkomsten creëren door je software aan andere criminelen te verkopen. Soms hebben die zelf goede hackers die weten waar ze mee bezig zijn en de boel goed kunnen configureren, soms hebben ze script-kiddies die net de boel draaiende weten te krijgen.
supersnathan94 @CivLord10 augustus 2024 21:33
Ja dat klopt wel. Allemaal van die kits die je op t darknet kunt kopen. Zelfde geldt natuurlijk ook voor DDOS en botnet clients. Die video van LTT hierover was wel interessant om te zien. Payload injection bij veel systemen is echt een eitje als je een beetje snapt hoe het werkt in de GUI. Dus kan me ook best voorstellen dat er een soort callcenter eerstelijns groep zit om de boel te verspreiden en dat die er inhoudelijk weinig van snappen.
wildhagen
9 augustus 2024 18:54
In sommige gevallen onthulden deze bugs de IP-adressen van de servers van de hackers, waardoor de echte locatie kon worden getraceerd.

Specifiek zou de hackersgroep achter de Everest-ransomware een standaard wachtwoord hebben gebruikt voor zijn back-end SQL-database
Echt. Twee klassieke fouten die tegenwoordig toch wel zó bekend zijn, dat je toch zou verwachten dat een beetje beheerder (ook al is het van zo'n malafide ransomware-omgeving) die toch niet meer zou maken...

Het is toch redelijk Security les 1, hoofdstuk 1, paragraaf 1, dat je standaard passwords direct na installatie wijzigt.

Kijk, in dit geval is het natuurlijk mooi, want dat geeft bedrijven hun data terug zonder dat ze ervoor moeten betalen. Maar helaas worden deze fouten ook nog té vaak gemaakt in het normale bedrijfsleven.

Denk dat de bedrijven om wie het gaat hier heel blij mee mogen zijn. De losgeld-eisen voor ransomware kunnen soms wel in de tientallen miljoenen lopen (enkele voorbeelden zijn dit artikel en twee weken terug nog dit artikel).

Mooi werk van deze onderzoeker.
Peter_Utrecht 9 augustus 2024 19:05
Zijdelings gerelateerd, maar een fascinerend verhaal. De gebruikte technieken gaan helemaal langs me heen, maar als arrogante hackers en scammers een koekje van eigen deeg krijgen, lees dat lekker weg.

Engelstalig, het is niet anders

De credentials van de auteur: https://blog.smithsecurity.biz/

deel 1: https://blog.smithsecurity.biz/hacking-the-scammers

deel 2: https://blog.smithsecurit...acking-the-scammers-pt.-2
well0549 9 augustus 2024 19:17
Je moet echt hopen dat die lui hun data ergens in de cloud hun data opslaan, een dan alles volledig vol spoofen met flut data zodat de kosten lekker oplopen. Of de servers helemaal vol lopen met 0 disk space vrij of zo...... In ieder geval stopt dan alles...

Geen ddos dus maar een dos denial of space :)
Harm_H 9 augustus 2024 19:06
Mooi dat de chief technology officer is uitgezocht op kwaliteit. Hopelijk blijft hij toekomen aan het oplossen van misdrijven.
cariolive23 @Harm_H9 augustus 2024 19:16
Uitgezocht? Hoe kom je daar nou bij? Niemand heeft hem uitgezocht.

Co-founder & CTO
a3vd 9 augustus 2024 20:41
Ik zeg lintje !
DJMaze @a3vd9 augustus 2024 22:51
Eerder een Lousy T-Shirt
Roel1966 9 augustus 2024 23:48
Wel lachen eigenlijk dat de hackers gehackt zijn en ook ergens nog op een vrij eenvoudige manier als ik dit zo lees. Je zou dan toch verwachten dat ze beter moesten weten en hun eigen systemen op orde zouden hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq