Een securitybedrijf heeft naar eigen zeggen door een foutje van een ransomwaregroep de gestolen data van twaalf bedrijven gevonden. Na de ontdekking werden de autoriteiten ingeschakeld, aldus Cyber Centaurs. Bij het onderzoek naar een organisatie die slachtoffer was geworden van de INC-ransomwaregroep vonden de onderzoekers de bekende back-uptool Restic.

Deze tool laat aanvallers grote hoeveelheden data stelen, terwijl het netwerkverkeer dat dit veroorzaakt lijkt op normaal back-upverkeer, aldus de onderzoekers. De INC-groep maakt volgens de onderzoekers vaker gebruik van Restic, afhankelijk van omgeving en complexiteit. Ook komt het voor dat de aanvallers al aanwezige back-uptooling voor het stelen van data gebruiken, zoals Veeam.

In het geval van de aangevallen organisatie was Restic wel door de aanvallers naar de omgeving gekopieerd, maar niet gebruikt voor het stelen van data. Daarnaast troffen de onderzoekers een script aan voor het gebruik van Restic, met hardcoded informatie voor de opslag in een S3-achtige bucket, waaronder inloggegevens, configuraties en andere informatie. Aan de hand van eerdere incidenten kwamen de onderzoekers met een hypothese dat de INC-groep de eigen Restic-gebaseerde infrastructuur bij meerdere aanvallen gebruikt.

Op basis van de gevonden informatie maakten de onderzoekers een script om mogelijke repository identifiers te enumereren. "Voor elke omgeving werden de omgevingsvariabelen ingesteld gelijk aan de configuratiestijl die de aanvallers gebruiken, waaronder het repository endpoint en encryptiewachtwoord. Restic kreeg daarna de opdracht om beschikbare snapshots op een gestructureerde manier weer te geven", aldus de onderzoekers. Via het script werden repositories met de gegevens van twaalf Amerikaanse bedrijven gevonden, onder andere in gezondheidszorg, productie en dienstverlening. Na de ontdekking werden de autoriteiten ingeschakeld om slachtoffers te identificeren en volgende stappen te bepalen.