Ransomware vulnerabili, un ricercatore scopre una falla

Molti dei ransomware maggiormente utilizzati - vale a dire Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker - possono essere vulnerabili al dirottamento di DLL, una tecnica spesso sfruttata dagli hacker per iniettare codice dannoso in un'applicazione legittima. A scoprirlo e segnalarlo è stato il hyp3rlinx che opera nel contesto del progetto Malvuln.

Ransomware: Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker sono vulnerabili

Trattasi di una metodica che può essere applicata solo su Windows e che si basa sul modo in cui le applicazioni cercano e caricano in memoria i file DLL di cui necessitano. In tal caso, un'applicazione con un meccanismo di controllo non sufficiente può caricare una DLL da un percorso esterno alla sua directory, scalando permessi o eseguendo codice indesiderato.

Per sfruttare la vulnerabilità, il ricercatore ha realizzato un codice exploit che deve essere compilato in una DLL con un nome specifico, da collocare in una posizione in cui è probabile che gli aggressori eseguano il ransomware, così che quest'ultimo la riconosca come propria e la carichi per avviare la crittografia dei file. In tal modo, il processo termina prima che la crittografia venga eseguita. Di seguito è presente un video dimostrativo.

Da notare che per ogni campione di malware analizzato il ricercatore ha condiviso un report che descrive il tipo di vulnerabilità rilevata, l'hash del campione e un exploit dimostrativo.

Ad ogni modo, è lecito pensare che questo tipo di vulnerabilità verrà presto corretta dai gruppi ransomware coinvolti. I malintenzionati, infatti, sono soliti risolvere le eventuali falle nei loro strumenti in maniera abbastanza reattiva, in special modo quando vengono condivise informazioni su di essi a livello pubblico.