Este pesquisador acabou de derrotar gangues de ransomware em seu próprio jogo
Um pesquisador de segurança descobriu falhas importantes relacionadas a ransomware e malware populares – um estado de coisas que pode levar seus criadores a repensar completamente a abordagem para se infiltrar em possíveis vítimas.
Atualmente, entre os grupos baseados em ransomware mais ativos estão Conti, REvil, Black Basta, LockBit e AvosLocker. No entanto, conforme relatado pelo Bleeping Computer , descobriu-se que o malware desenvolvido por essas gangues cibernéticas apresenta vulnerabilidades de segurança cruciais.
Esses defeitos podem muito bem ser uma revelação prejudicial para os grupos mencionados – em última análise, essas brechas de segurança podem ser direcionadas para evitar o que a maioria dos ransomwares são criados; a criptografia de arquivos contidos em um sistema.
Um pesquisador de segurança, hyp3rlinx, especializado em pesquisa de vulnerabilidades de malware, examinou as variedades de malware pertencentes aos principais grupos de ransomware. Curiosamente, ele disse que as amostras foram expostas ao sequestro de bibliotecas de links dinâmicos (DLL), que é um método tradicionalmente usado pelos próprios invasores que visam programas por meio de código malicioso.
“O sequestro de DLL funciona apenas em sistemas Windows e explora a maneira como os aplicativos pesquisam e carregam na memória os arquivos Dynamic Link Library (DLL) de que precisam”, explica Bleeping Computer. “Um programa com verificações insuficientes pode carregar uma DLL de um caminho fora de seu diretório, elevando privilégios ou executando código indesejado.”
As explorações associadas às amostras de ransomware que foram inspecionadas pelo hyp3rlinx – todas derivadas de Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker – autorizam o código que pode essencialmente “controlar e encerrar a pré-criptografia do malware”.
Devido à descoberta dessas falhas, o hyp3rlinx foi capaz de projetar código de exploração que é montado em uma DLL. A partir daqui, esse código recebe um determinado nome, enganando efetivamente o código malicioso para detectá-lo como seu. O processo final envolve o carregamento do referido código para que ele inicie o processo de criptografar os dados.
Convenientemente, o pesquisador de segurança enviou um vídeo que mostra como uma vulnerabilidade de sequestro de DLL é usada (pelo grupo de ransomware REvil) para acabar com o ataque de malware antes mesmo de começar.
O significado da descoberta dessas façanhas
Conforme destacado pelo Bleeping Computer, uma área típica de um computador alvo de ransomware é um local de rede que pode abrigar dados confidenciais. Portanto, o hyp3rlinx afirma que depois que a exploração da DLL é carregada, colocando essa DLL em determinadas pastas, o processo de ransomware teoricamente deve ser interrompido antes que possa causar danos.
O malware é capaz de escapar dos processos de mitigação de segurança, mas o hyp3rlinx enfatiza que o código malicioso é completamente ineficaz quando enfrenta DLLs.
Dito isso, se a investigação do pesquisador resulta em mudanças duradouras na prevenção ou pelo menos na redução do impacto de ataques de ransomware e malware é outra questão.
“Se as amostras forem novas, é provável que a exploração funcione apenas por um curto período de tempo, porque as gangues de ransomware são rápidas em corrigir bugs, especialmente quando atingem o espaço público”, disse Bleeping Computer. “Mesmo que essas descobertas sejam viáveis por mais algum tempo, as empresas visadas por gangues de ransomware ainda correm o risco de ter arquivos importantes roubados e vazados, pois a exfiltração para pressionar a vítima a pagar um resgate faz parte do modus operandi desse agente de ameaças. ”
Ainda assim, o site de segurança cibernética acrescentou que as explorações do hyp3rlinx “podem ser úteis, pelo menos, para evitar interrupções operacionais, que podem causar danos significativos”.
Como tal, embora seja provável que seja corrigido em breve por grupos de ransomware no futuro imediato, encontrar essas explorações é um primeiro passo encorajador para impactar o desenvolvimento e a distribuição de códigos perigosos. Também pode levar a métodos de mitigação mais avançados para evitar ataques.
Os grupos de ransomware não consistem em hackers comuns. Criar e espalhar malware eficaz é uma tarefa sofisticada por si só, e o lucro financeiro de um ataque bem-sucedido pode gerar centenas de milhões de dólares para os criminosos. Uma parte considerável desses ganhos ilícitos é extraída de indivíduos inocentes.
