REvil, LockBit o AvosLocker: anche i malware piangono

Finalmente una notizia che, se confermata, fa gioire gli utenti, e aziende, tartassati da più di un anno a dall’infestare dei malware, ransonware. Virus in generale. Stavolta, per fortuna, sarebbero loro ad avere dei bug, delle vulnerabilità che li potrebbero rendere, finalmente, innocui.

Malware 20220506 cell
Malware – Adobe Stock

Gli hacker, si sa, sfruttano comunemente le vulnerabilità nelle reti aziendali per ottenere l’accesso ai dati, ma a quanto pare stavolta la situazione è inversamente proporzionata. Un ricercatore, infatti, ha ribaltato la situazione trovando exploit nei ransomware e malware più comuni, distribuiti di recente.

I malware provenienti da famigerate operazioni di ransomware come Conti, il rianimato REvil, il nuovo arrivato Black Basta, l’altamente attivo LockBit o AvosLocker, presentavano tutti problemi di sicurezza che potevano essere sfruttati per fermare la fase finale e più dannosa dell’attacco, la crittografia dei file.

Un codice exploit che deve essere compilato in una DLL con un nome specifico

Hacker 20220506 cell
Hacker – Adobe Stock

Analizzando i ceppi di malware di queste bande di ransomware, hyp3rlinx, così è noto sui social, Twitter nel particolare, ha scoperto dei campioni vulnerabili al dirottamento delle DLL: proprio un metodo solitamente sfruttato dagli aggressori per iniettare codice dannoso in un’applicazione legittima.

Per ogni malware analizzato, il ricercatore ha fornito un report che descrive chiaramente il tipo di vulnerabilità rilevata, l’hash del campione, un exploit proof-of-concept (PoC) e un video dimostrativo. Il dirottamento DLL funziona solo su sistemi Windows e sfrutta il modo in cui le applicazioni cercano e caricano in memoria i file DLL (Dynamic Link Library) di cui hanno bisogno.

Un programma con controlli insufficienti può caricare una DLL da un percorso esterno alla sua directory, elevando i privilegi o eseguendo codice indesiderato. Per i campioni di ransomware vulnerabili di Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker, il hyp3rlinx afferma che il loro exploit consente di eseguire il codice per “controllare e terminare la pre-crittografia del malware“.

Per sfruttare le vulnerabilità del malware il ricercatore ha creato un codice exploit che deve essere compilato in una DLL con un nome specifico in modo che il codice dannoso lo riconosca come proprio e lo carichi per iniziare a crittografare i dati.

Per difendersi da queste famiglie di ransomware, hyp3rlinx afferma che la DLL può essere collocata in un luogo in cui è probabile che i criminali informatici eseguano il loro ransomware, ad esempio un percorso di rete con dati importanti. Una volta caricata la DLL dell’exploit, il processo del ransomware dovrebbe terminare prima di avviare l’operazione di crittografia dei dati.

Il ricercatore osserva che mentre il malware può terminare le soluzioni di sicurezza sulla macchina compromessa, non può fare nulla contro le DLL poiché sono solo file archiviati sul disco dell’host, inerti fino al caricamento. Fosse, fosse, la volta buona…