[ad_1]
Os hackers costumam explorar vulnerabilidades em redes corporativas para obter acesso, mas um pesquisador mudou isso ao encontrar vulnerabilidades nos ransomwares e malwares mais comuns distribuídos hoje.
Malware de operações notórias de ransomware como Conti, o REvil revivido, o recém-chegado Black Basta, o muito ativo LockBit ou AvosLocker, todos vieram com falhas de segurança que poderiam ser exploradas para impedir a etapa final e mais prejudicial do ataque, a criptografia de registros.
Código de exploração disponível
Analisando as variedades de malware dessas gangues de ransomware, um pesquisador de segurança chamado hip3rlinx descobriram que as amostras eram vulneráveis ao sequestro de DLL, um método frequentemente explorado por invasores para injetar código malicioso em um aplicativo legítimo.
Para cada malware analisado, o pesquisador fornece um relatório descrevendo o tipo de vulnerabilidade encontrada, o hash de amostra, uma exploração de prova de conceito (PoC) e um vídeo de demonstração.
O seqüestro de DLL funciona apenas em sistemas Windows e explora a maneira como os aplicativos encontram e carregam os arquivos de biblioteca de vínculo dinâmico (DLL) necessários na memória.
Um programa com verificações insuficientes pode carregar uma DLL de um caminho fora de seu diretório, elevando privilégios ou executando código indesejado.
Para amostras de ransomware vulneráveis de Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker, o pesquisador diz que sua exploração permite que o código seja executado para “controlar e encerrar a pré-criptografia do malware”.
Para aproveitar as vulnerabilidades de malware das gangues acima, o pesquisador criou um código de exploração que precisa ser compilado em uma DLL com um nome específico para que o código malicioso o reconheça como seu e o carregue para começar a criptografar os dados .
Abaixo está um vídeo do pesquisador explorando uma vulnerabilidade de sequestro de DLL no REvil ransomware para remover o malware antes do início do processo de criptografia.
Para se defender contra essas famílias de ransomware, o hyp3rlinx diz que a DLL pode ser colocada em um local onde os cibercriminosos provavelmente executem seu ransomware, como um local de rede com dados confidenciais.
Depois que a DLL de exploração é carregada, o processo de ransomware deve terminar antes de iniciar a operação de criptografia de dados.
O pesquisador observa que, embora o malware possa matar as soluções de segurança na máquina comprometida, ele não pode fazer nada contra as DLLs, pois são apenas arquivos armazenados no disco do host, inertes até serem carregados.
Não está claro quais versões do malware hyperlinx ransomware foram consideradas vulneráveis ao sequestro de DLL.
Se as amostras forem novas, é provável que a exploração funcione apenas por um curto período de tempo, porque as gangues de ransomware são rápidas em corrigir bugs, especialmente quando atingem o espaço público.
Mesmo que essas descobertas sejam viáveis por mais algum tempo, as empresas visadas por gangues de ransomware ainda correm o risco de ter arquivos importantes roubados e vazados, pois a exfiltração para pressionar a vítima a pagar um resgate faz parte do modus operandi desse agente de ameaça.
No entanto, as explorações do hyperlinx podem ser úteis, pelo menos, para evitar interrupções operacionais, que podem causar danos significativos.
Malware mais vulnerável
O hyp3rlinx rastreia seu trabalho no projeto Malvuln, que se concentra em encontrar vulnerabilidades em vários malwares, de cavalos de Troia e backdoors a spywares e ladrões de dados.
O último relatório do pesquisador de vulnerabilidades de malware é para o RedLine, um ladrão de informações que se tornou muito popular em fóruns de hackers.
Ele coleta informações confidenciais, como logins de navegadores da web, plataformas de mensagens (Telegram, Discord), clientes FTP, Steam e também visa carteiras de criptomoedas.
Estes são os relatórios de vulnerabilidade para as amostras de ransomware analisadas: Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker.
[ad_2]