Napomena: Sljedeći članak će vam pomoći: Ovaj je istraživač upravo pobijedio ransomware bande u njihovoj igri
Istraživač sigurnosti otkrio je ključne nedostatke koji se odnose na popularni ransomware i zlonamjerni softver — stanje stvari koje bi moglo dovesti do toga da njihovi kreatori potpuno preispitaju pristup infiltraciji potencijalnih žrtava.
Trenutačno su među najaktivnijim grupama koje se temelje na ransomwareu Conti, REvil, Black Basta, LockBit i AvosLocker. Međutim, kako je izvijestio Bleeping Computer, otkriveno je da zlonamjerni softver koji su razvile ove cyber bande ima ključne sigurnosne propuste.
Ovi bi se nedostaci mogli pokazati kao štetno otkriće za gore navedene skupine — u konačnici, takve sigurnosne rupe mogu se ciljati kako bi se spriječilo ono za što je većina ransomwarea stvorena; šifriranje datoteka sadržanih u sustavu.
Istraživač sigurnosti, hyp3rlinx, koji se specijalizirao za istraživanje ranjivosti zlonamjernog softvera, ispitao je vrste zlonamjernog softvera koji pripadaju vodećim grupama ransomwarea. Zanimljivo, rekao je da su uzorci bili izloženi otmici knjižnice dinamičkih veza (DLL), što je metoda koju tradicionalno koriste sami napadači koja cilja programe putem zlonamjernog koda.
“Otmica DLL-a radi dalje Windows samo sustave i iskorištava način na koji aplikacije traže i učitavaju u memoriju datoteke Dynamic Link Library (DLL) koje su im potrebne,” objašnjava Bleeping Computer. “Program s nedovoljnim provjerama može učitati DLL s putanje izvan svog direktorija, podižući privilegije ili izvršavajući neželjeni kod.”
Eksploatacije povezane s uzorcima ransomwarea koje je pregledao hyp3rlinx – svi su izvedeni iz Conti, REvil, LockBit, Black Basta, LockiLocker i AvosLocker – autoriziraju kod koji u biti može “kontrolirati i prekinuti prethodnu enkripciju malwarea.”
Zbog otkrića ovih nedostataka, hyp3rlinx je uspio dizajnirati eksploatacijski kod koji je sastavljen u DLL. Odavde se tom kodu dodjeljuje određeno ime, čime se zlonamjerni kod učinkovito prevari da ga otkrije kao svoj. Konačni proces uključuje učitavanje spomenutog koda tako da započinje proces šifriranja podataka.
Zgodno je da je sigurnosni istraživač prenio video koji pokazuje kako se koristi ranjivost otmice DLL-a (od strane ransomware grupe REvil) da se zaustavi napad zlonamjernog softvera prije nego što uopće počne.
Conti Ransomware – Code Exec ranjivost
Značaj otkrića ovih podviga
Kao što je istaknuo Bleeping Computer, tipično područje računala na meti ransomwarea je mrežna lokacija na kojoj se mogu nalaziti osjetljivi podaci. Stoga, hyp3rlinx tvrdi da nakon što se DLL exploit učita postavljanjem tog DLL-a u određene mape, proces ransomwarea teoretski treba zaustaviti prije nego što može nanijeti štetu.
Zlonamjerni softver je sposoban izbjeći sigurnosne procese ublažavanja, ali hyp3rlinx naglašava da je zlonamjerni kod potpuno neučinkovit kada se suoči s DLL-ovima.
Uz to, posve je drugo pitanje hoće li istraživačeva istraga rezultirati dugotrajnim promjenama u sprječavanju ili barem smanjenju utjecaja napada ransomwarea i malwarea.
“Ako su uzorci novi, vjerojatno je da će exploit funkcionirati samo kratko vrijeme jer skupine ransomwarea brzo popravljaju bugove, osobito kada dođu u javni prostor”, rekao je Bleeping Computer. “Čak i ako se ova otkrića pokažu održivima još neko vrijeme, tvrtke na meti ransomware bandi i dalje su izložene riziku krađe i curenja važnih datoteka, jer je eksfiltracija radi pritiska na žrtvu da plati otkupninu dio modusa operandi ovog aktera prijetnje. ”
Ipak, internetska stranica za kibernetičku sigurnost dodala je da bi se hyp3rlinxovi podvigi “mogli pokazati korisnima barem za sprječavanje operativnih poremećaja, koji mogu uzrokovati značajnu štetu.”
Kao takav, iako će ga skupine ransomwarea vjerojatno uskoro zakrpati u bliskoj budućnosti, pronalazak ovih eksploatacija ohrabrujući je prvi korak prema utjecaju na razvoj i distribuciju opasnog koda. To također može dovesti do naprednijih metoda ublažavanja za sprječavanje napada.
Ransomware grupe se ne sastoje od prosječnih hakera. Stvaranje i širenje učinkovitog zlonamjernog softvera sofisticiran je zadatak sam po sebi, a financijska dobit od uspješnog napada može generirati stotine milijuna dolara za počinitelje. Značajan dio te nezakonito stečene dobiti izvučen je od nevinih pojedinaca.
