Hacker barra ataques descobrindo falhas em ransomwares

Da Redação
03/05/2022

Um pesquisador de segurança que usa no Twitter o id @malvuln (conhecido também como hyp3rlinx) descobriu falhas em várias famílias de ransomware, por meio das quais pode desabilitá-los antes que criptografem dados e aplicações numa rede. As falhas foram descobertas no software dos ransomwares Conti, REvil, Black Basta, LockBit e AvosLocker. Todos têm problemas de segurança que podem ser explorados para interromper a etapa final e do ataque.

Em sua conta no Twitter, @malvun criou um relatório para cada peça de malware analisada, descrevendo o tipo de vulnerabilidade encontrada, o hash da amostra, uma exploração como prova de conceito (PoC) e um vídeo de demonstração.

Veja isso
Ransomware, APTs e Log4j lideram ranking de ameaças
Ransomware Quantum usa trojan para ataques rápidos a redes

O pesquisador descobriu que o software era vulnerável ​​a um ataque chamado sequestro de DLL, método geralmente aproveitado por invasores para injetar código malicioso em um aplicativo legítimo. Naturalmente o seqüestro de DLL funciona apenas em sistemas Windows e explora o modo pelo qual os aplicativos pesquisam e carregam na memória os arquivos DLL de que precisam.

Um programa com verificações insuficientes pode carregar uma DLL de um caminho fora de seu diretório, elevando privilégios ou executando código indesejado.

Para amostras de ransomware vulneráveis ​​de Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker, o pesquisador diz que sua exploração permite a execução de código para “controlar e encerrar a pré-criptografia do malware”.

Para aproveitar as vulnerabilidades no malware das gangues acima, o pesquisador criou um código de exploração que precisa ser compilado em uma DLL com um nome específico para que o código malicioso reconheça como seu e o carregue para começar a criptografar os dados.

Veja abaixo o vídeo da prova de conceito na derrubada do ransomware Conti:

Compartilhar: