Σφάλματα ransomware Conti, REvil, LockBit που εκμεταλλεύονται για τον αποκλεισμό της κρυπτογράφησης  

Σφάλματα ransomware Conti, REvil, LockBit που εκμεταλλεύονται για τον αποκλεισμό της κρυπτογράφησης  

Οι χάκερ συνήθως εκμεταλλεύονται ευπάθειες σε εταιρικά δίκτυα για να αποκτήσουν πρόσβαση, αλλά ένας ερευνητής ανέτρεψε την κατάσταση  βρίσκοντας εκμεταλλεύσεις στο πιο κοινό ransomware και κακόβουλο λογισμικό που διανέμεται σήμερα.

Το κακόβουλο λογισμικό από διαβόητες λειτουργίες ransomware όπως το Conti, το αναβιωμένο REvil, το νεοφερμένο Black Basta, το πολύ ενεργό LockBit ή το AvosLocker, όλα είχαν ζητήματα ασφαλείας που θα μπορούσαν να χρησιμοποιηθούν για να σταματήσουν το τελευταίο και πιο επιζήμιο βήμα της επίθεσης, την κρυπτογράφηση αρχείων.

Διαθέσιμος κώδικας εκμετάλλευσης

Αναλύοντας τα στελέχη κακόβουλου λογισμικού από αυτές τις συμμορίες ransomware, ένας ερευνητής ασφαλείας ονόματι hyp3rlinx διαπίστωσε ότι τα δείγματα ήταν ευάλωτα στην πειρατεία DLL, μια μέθοδο που συνήθως χρησιμοποιούν οι εισβολείς για να εισάγουν κακόβουλο κώδικα σε μια νόμιμη εφαρμογή.

Για κάθε κομμάτι κακόβουλου λογισμικού που αναλύεται, ο ερευνητής παρέχει μια αναφορά που περιγράφει τον τύπο ευπάθειας που βρέθηκε, τον κατακερματισμό του δείγματος, μια εκμετάλλευση απόδειξης της ιδέας (PoC) και ένα βίντεο επίδειξης.

Η πειρατεία DLL λειτουργεί μόνο σε συστήματα Windows και εκμεταλλεύεται τον τρόπο με τον οποίο οι εφαρμογές αναζητούν και φορτώνουν στη μνήμη τα αρχεία Βιβλιοθήκης δυναμικής σύνδεσης (DLL) που χρειάζονται.

Ένα πρόγραμμα με ανεπαρκείς ελέγχους μπορεί να φορτώσει ένα DLL από μια διαδρομή εκτός του καταλόγου του, αυξάνοντας τα δικαιώματα ή εκτελώντας ανεπιθύμητο κώδικα.

Για ευάλωτα δείγματα ransomware από τα Conti, REvil, LockBit, Black Basta, LockiLocker και AvosLocker, ο ερευνητής λέει ότι η εκμετάλλευσή τους επιτρέπει στην εκτέλεση κώδικα για τον «έλεγχο και τον τερματισμό της προκρυπτογράφησης κακόβουλου λογισμικού».

Για να αξιοποιήσει τα τρωτά σημεία στο κακόβουλο λογισμικό από τις παραπάνω συμμορίες, ο ερευνητής δημιούργησε κώδικα εκμετάλλευσης που πρέπει να μεταγλωττιστεί σε ένα DLL με συγκεκριμένο όνομα, ώστε ο κακόβουλος κώδικας να αναγνωρίσει ως δικό του και να τον φορτώσει για να ξεκινήσει η κρυπτογράφηση των δεδομένων.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *