Questo ricercatore ha appena battuto le bande di ransomware nel loro stesso gioco
Un ricercatore di sicurezza ha scoperto difetti chiave relativi a ransomware e malware popolari, uno stato di cose che potrebbe portare i loro creatori a ripensare completamente all’approccio per infiltrarsi nelle potenziali vittime.
Attualmente, tra i gruppi basati su ransomware più attivi ci sono Conti, REvil, Black Basta, LockBit e AvosLocker. Tuttavia, come riportato da Bleeping Computer , è stato riscontrato che il malware sviluppato da queste bande informatiche presenta vulnerabilità di sicurezza cruciali.
Questi difetti potrebbero benissimo rivelarsi una rivelazione dannosa per i suddetti gruppi: in definitiva, tali falle di sicurezza possono essere mirate al fine di prevenire ciò per cui è stata creata la maggior parte dei ransomware; la crittografia dei file contenuti all’interno di un sistema.
Un ricercatore di sicurezza, hyp3rlinx, specializzato nella ricerca sulla vulnerabilità del malware, ha esaminato i ceppi di malware appartenenti ai principali gruppi di ransomware. È interessante notare che ha affermato che i campioni sono stati esposti al dirottamento della libreria di collegamento dinamico (DLL), che è un metodo tradizionalmente utilizzato dagli stessi aggressori che prendono di mira i programmi tramite codice dannoso.
“Il dirottamento delle DLL funziona solo su sistemi Windows e sfrutta il modo in cui le applicazioni cercano e caricano in memoria i file DLL (Dynamic Link Library) di cui hanno bisogno”, spiega Bleeping Computer. “Un programma con controlli insufficienti può caricare una DLL da un percorso esterno alla sua directory, elevando i privilegi o eseguendo codice indesiderato.”
Gli exploit associati ai campioni di ransomware che sono stati ispezionati da hyp3rlinx, tutti derivati da Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker, autorizzano il codice che può essenzialmente “controllare e terminare la pre-crittografia del malware”.
Grazie alla scoperta di questi difetti, hyp3rlinx è stato in grado di progettare codice exploit assemblato in una DLL. Da qui, a quel codice viene assegnato un certo nome, inducendo così il codice dannoso a rilevarlo come proprio. Il processo finale prevede il caricamento di detto codice in modo che inizi il processo di crittografia dei dati.
Convenientemente, il ricercatore di sicurezza ha caricato un video che mostra come viene utilizzata una vulnerabilità di dirottamento DLL (dal gruppo di ransomware REvil) per porre fine all’attacco malware prima ancora che possa iniziare.
Il significato della scoperta di questi exploit
Come evidenziato da Bleeping Computer, un’area tipica di un computer preso di mira dal ransomware è una posizione di rete che può ospitare dati sensibili. Pertanto, hyp3rlinx afferma che dopo che l’exploit DLL è stato caricato posizionando tale DLL in determinate cartelle, il processo ransomware dovrebbe teoricamente essere interrotto prima che possa causare danni.
Il malware è in grado di eludere i processi di mitigazione della sicurezza, ma hyp3rlinx sottolinea che il codice dannoso è completamente inefficace quando affronta le DLL.
Detto questo, se l’indagine del ricercatore si traduca in cambiamenti duraturi nella prevenzione o almeno nella riduzione dell’impatto degli attacchi ransomware e malware è un’altra questione.
“Se i campioni sono nuovi, è probabile che l’exploit funzionerà solo per un breve periodo perché i gruppi di ransomware correggono rapidamente i bug, soprattutto quando colpiscono lo spazio pubblico”, ha affermato Bleeping Computer. “Anche se questi risultati si rivelassero fattibili ancora per un po’, le aziende prese di mira da bande di ransomware corrono comunque il rischio che file importanti vengano rubati e trapelati, poiché l’esfiltrazione per spingere la vittima a pagare un riscatto fa parte del modus operandi di questo attore di minacce. ”
Tuttavia, il sito Web di sicurezza informatica ha aggiunto che gli exploit di hyp3rlinx “potrebbero rivelarsi utili almeno per prevenire interruzioni operative, che possono causare danni significativi”.
In quanto tale, sebbene sia probabile che venga presto corretto dai gruppi di ransomware nell’immediato futuro, la scoperta di questi exploit è un primo passo incoraggiante verso l’impatto sullo sviluppo e sulla distribuzione di codice pericoloso. Può anche portare a metodi di mitigazione più avanzati per prevenire gli attacchi.
I gruppi di ransomware non sono costituiti dai tuoi hacker medi. La creazione e la diffusione di malware efficace è un’attività sofisticata in sé e per sé e il guadagno finanziario derivante da un attacco riuscito può generare centinaia di milioni di dollari per gli autori. Una parte considerevole di quei guadagni illeciti viene sottratta a individui innocenti.
