Οι ευπάθειες σε εταιρικά δίκτυα, συχνά εκμεταλλεύονται από κακόβουλους παράγοντες, για να αποκτήσουν πρόσβαση σε αυτά. Ωστόσο τα ευρήματα ενός ερευνητή ανατρέπουν αυτό το σκηνικό, αφού φαίνεται να υπάρχουν bugs και στα πιο κοινά ransomware.
Δείτε επίσης: Η ομάδα ransomware REvil επέστρεψε με εκδικητικές διαθέσεις
Όπως αποδείχτηκε, ransomware όπως το Conti, το REvil, το Black Basta, το LockBit και το AvosLocker, είχαν bugs που θα μπορούσαν να χρησιμοποιηθούν για να σταματήσουν το τελευταίο και πιο επιζήμιο βήμα της επίθεσης, την κρυπτογράφηση αρχείων.
Αναλύοντας τα στελέχη κακόβουλου λογισμικού από αυτές τις συμμορίες ransomware, ένας ερευνητής ασφαλείας ονόματι hyp3rlinx, διαπίστωσε ότι τα δείγματα ήταν ευάλωτα σε πειρατεία DLL, μια μέθοδο που συνήθως χρησιμοποιούν οι εισβολείς για να εισάγουν κακόβουλο κώδικα σε μια νόμιμη εφαρμογή.
Για κάθε κομμάτι κακόβουλου λογισμικού που ανέλυσε, ο ερευνητής παρέχει μια αναφορά που περιγράφει τον τύπο ευπάθειας που ανακάλυψε, τον κατακερματισμό του δείγματος, ένα PoC και ένα βίντεο επίδειξης.
Η πειρατεία DLL λειτουργεί μόνο σε συστήματα Windows και εκμεταλλεύεται τον τρόπο με τον οποίο οι εφαρμογές αναζητούν και φορτώνουν στη μνήμη τα αρχεία DLL που χρειάζονται.
Ένα πρόγραμμα με ανεπαρκείς ελέγχους μπορεί να φορτώσει ένα DLL από μια διαδρομή εκτός του καταλόγου του, αυξάνοντας τα δικαιώματα ή εκτελώντας ανεπιθύμητο κώδικα.
Στα δείγματα ransomware από τα Conti, REvil, LockBit, Black Basta, LockiLocker και AvosLocker, που εξέτασε ο ερευνητής, τα bugs επιτρέπουν την εκτέλεση κώδικα για τον «έλεγχο και τον τερματισμό της προκρυπτογράφησης του κακόβουλου λογισμικού».
Δείτε ακόμα: Τα ζητούμενα λύτρα είναι το 15% του συνολικού κόστους των επιθέσεων ransomware
Για να αξιοποιήσει τα bugs στο κακόβουλο λογισμικό από τις παραπάνω συμμορίες, ο ερευνητής δημιούργησε κώδικα εκμετάλλευσης που πρέπει να μεταγλωττιστεί σε ένα DLL με συγκεκριμένο όνομα, ώστε ο κακόβουλος κώδικας να το αναγνωρίσει ως δικό του και να τον φορτώσει για να ξεκινήσει η κρυπτογράφηση των δεδομένων.
Για να προστατευτούν τα δίκτυα από αυτές τις οικογένειες ransomware, ο hyp3rlinx λέει ότι το DLL μπορεί να τοποθετηθεί σε μια τοποθεσία όπου οι εγκληματίες του κυβερνοχώρου είναι πιθανό να εκτελούν το ransomware τους, όπως μια τοποθεσία δικτύου με σημαντικά δεδομένα. Μόλις φορτωθεί το exploit DLL, η διαδικασία ransomware θα πρέπει να τερματιστεί πριν ξεκινήσει η λειτουργία κρυπτογράφησης δεδομένων.
Ο ερευνητής σημειώνει ότι, ενώ το κακόβουλο λογισμικό μπορεί να τερματίσει λύσεις ασφαλείας στο μηχάνημα που έχει παραβιαστεί, δεν μπορεί να κάνει τίποτα ενάντια στα DLL, καθώς είναι απλώς αρχεία που είναι αποθηκευμένα στον δίσκο του κεντρικού υπολογιστή, αδρανή μέχρι να φορτωθούν.
Δεν είναι σαφές ποιες εκδόσεις κακόβουλου λογισμικού ransomware βρέθηκαν να είναι ευάλωτες στην πειρατεία DLL.
Εάν τα δείγματα είναι νέα, είναι πιθανό το exploit να λειτουργήσει μόνο για σύντομο χρονικό διάστημα, καθώς οι συμμορίες ransomware διορθώνουν γρήγορα σφάλματα, ειδικά όταν παρουσιάζονται δημόσια.
Δείτε επίσης: Malware Bumblebee: Αναλαμβάνει την παράδοση του ransomware BazarLoader
Ακόμα κι αν αυτά τα ευρήματα αποδειχθούν βιώσιμα για λίγο ακόμη, οι εταιρείες που στοχεύουν οι συμμορίες ransomware εξακολουθούν να διατρέχουν κίνδυνο κλοπής και διαρροής σημαντικών αρχείων, καθώς η διείσδυση για να πιέσει το θύμα να πληρώσει λύτρα είναι μέρος του τρόπου λειτουργίας τους.
Ωστόσο, οι εκμεταλλεύσεις που ανακάλυψε ο hyp3rlinx θα μπορούσαν να αποδειχθούν χρήσιμες τουλάχιστον για την αποφυγή λειτουργικής διακοπής, η οποία μπορεί να προκαλέσει σημαντική ζημιά.
