Ricercatore scopre bug nei ransomware più noti

Ricercatore scopre bug nei ransomware più noti

Un ricercatore ha scoperto alcune vulnerabilità in noti ransomware che possono essere sfruttate per impedire la cifratura dei file.
Un ricercatore ha scoperto alcune vulnerabilità in noti ransomware che possono essere sfruttate per impedire la cifratura dei file.

I ransomware sono sempre più diffusi perché consentono ai cybercriminali di guadagnare milioni di dollari. Per evitare di cadere in trappola è consigliata l’installazione di una soluzione di sicurezza che può rilevare questo tipo di malware. Un ricercatore ha scoperto alcune vulnerabilità in noti ransomware che possono essere sfruttate per bloccare la fase finale dell’attacco, ovvero la cifratura dei file.

Bug rende inefficaci i ransomware

Analizzando alcuni sample di WannaCry, Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker, il ricercatore ha scoperto che sono tutti vulnerabili ad un tipo di attacco denominato DLL Hijacking, un metodo utilizzato per iniettare codice infetto in applicazioni legittime. Per ognuno dei ransomware è disponibile un report che descrive il bug, il codice dell’exploit e un video dimostrativo.

Ovviamente gli exploit funzionano solo su Windows, in quanto sfruttano il modo in cui le applicazioni cercano e caricano in memoria le DLL (Dynamic Link Library). Il software che non effettua le necessarie verifiche può caricare le DLL da un percorso esterno alla sua directory, consentendo l’elevazione dei privilegi e l’esecuzione di codice indesiderato.

Il ricercatore ha scritto il codice delle DLL assegnando un nome specifico che inganna il ransomware. La DLL deve essere copiata in una posizione dove verrà quasi certamente eseguito il malware, ad esempio in una directory condivisa in rete. Quando il ransomware carica la DLL in memoria, la sua esecuzione viene interrotta prima della cifratura dei file.

Tutte le soluzioni di sicurezza moderne, tra cui Kaspersky Total Security, possono individuare i ransomware più noti. Per questo motivo, i cybercriminali cercano innanzitutto di disattivare la protezione. Una DLL è solo un file su disco che rimane in attesa di essere caricato in memoria, quindi non può essere cancellato dal ransomware.

Ovviamente i cybercriminali correggeranno presto le vulnerabilità, pertanto rimane ancora il rischio di attacchi che possono impedire l’accesso ai file finché non viene pagato il riscatto.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 4 mag 2022
Link copiato negli appunti