Ricercatore scopre bug nei ransomware più noti
Topic
Approfondimenti
Trending
tutti

Ricercatore scopre bug nei ransomware più noti

Un ricercatore ha scoperto alcune vulnerabilità in noti ransomware che possono essere sfruttate per impedire la cifratura dei file.
Ricercatore scopre bug nei ransomware più noti
Sicurezza Antivirus Antivirus
Un ricercatore ha scoperto alcune vulnerabilità in noti ransomware che possono essere sfruttate per impedire la cifratura dei file.
Pixabay

I ransomware sono sempre più diffusi perché consentono ai cybercriminali di guadagnare milioni di dollari. Per evitare di cadere in trappola è consigliata l’installazione di una soluzione di sicurezza che può rilevare questo tipo di malware. Un ricercatore ha scoperto alcune vulnerabilità in noti ransomware che possono essere sfruttate per bloccare la fase finale dell’attacco, ovvero la cifratura dei file.

Bug rende inefficaci i ransomware

Analizzando alcuni sample di WannaCry, Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker, il ricercatore ha scoperto che sono tutti vulnerabili ad un tipo di attacco denominato DLL Hijacking, un metodo utilizzato per iniettare codice infetto in applicazioni legittime. Per ognuno dei ransomware è disponibile un report che descrive il bug, il codice dell’exploit e un video dimostrativo.

Ovviamente gli exploit funzionano solo su Windows, in quanto sfruttano il modo in cui le applicazioni cercano e caricano in memoria le DLL (Dynamic Link Library). Il software che non effettua le necessarie verifiche può caricare le DLL da un percorso esterno alla sua directory, consentendo l’elevazione dei privilegi e l’esecuzione di codice indesiderato.

Il ricercatore ha scritto il codice delle DLL assegnando un nome specifico che inganna il ransomware. La DLL deve essere copiata in una posizione dove verrà quasi certamente eseguito il malware, ad esempio in una directory condivisa in rete. Quando il ransomware carica la DLL in memoria, la sua esecuzione viene interrotta prima della cifratura dei file.

Tutte le soluzioni di sicurezza moderne, tra cui Kaspersky Total Security, possono individuare i ransomware più noti. Per questo motivo, i cybercriminali cercano innanzitutto di disattivare la protezione. Una DLL è solo un file su disco che rimane in attesa di essere caricato in memoria, quindi non può essere cancellato dal ransomware.

Ovviamente i cybercriminali correggeranno presto le vulnerabilità, pertanto rimane ancora il rischio di attacchi che possono impedire l’accesso ai file finché non viene pagato il riscatto.

Fonte: Bleeping Computer

Pubblicato il 4 mag 2022

Link copiato negli appunti

Ti potrebbe interessare

Ransomware nascosto negli update di Windows 10

Ransomware nascosto negli update di Windows 10
Ransomware: costi sette volte superiori al riscatto

Ransomware: costi sette volte superiori al riscatto
Onyx, nuovo ransomware che distrugge i file

Onyx, nuovo ransomware che distrugge i file
Bumblebee è il nuovo malware del gruppo Conti

Bumblebee è il nuovo malware del gruppo Conti
Ransomware nascosto negli update di Windows 10

Ransomware nascosto negli update di Windows 10
Ransomware: costi sette volte superiori al riscatto

Ransomware: costi sette volte superiori al riscatto
Onyx, nuovo ransomware che distrugge i file

Onyx, nuovo ransomware che distrugge i file
Bumblebee è il nuovo malware del gruppo Conti

Bumblebee è il nuovo malware del gruppo Conti
Luca Colantuoni
Pubblicato il
4 mag 2022
Link copiato negli appunti