Dieser Forscher hat gerade Ransomware-Gangs mit ihren eigenen Waffen geschlagen

Ein Sicherheitsforscher hat wichtige Schwachstellen in Bezug auf beliebte Ransomware und Malware entdeckt – ein Zustand, der dazu führen könnte, dass ihre Schöpfer den Ansatz zur Infiltration potenzieller Opfer völlig überdenken.

Derzeit gehören zu den aktivsten Ransomware-basierten Gruppen solche wie Conti, REvil, Black Basta, LockBit und AvosLocker. Wie Bleeping Computer berichtet , wurde jedoch festgestellt, dass die von diesen Cybergangs entwickelte Malware entscheidende Sicherheitslücken aufweist.

Diese Defekte könnten sich sehr wohl als schädliche Offenbarung für die oben genannten Gruppen erweisen – schließlich können solche Sicherheitslücken gezielt angegriffen werden, um zu verhindern, wofür die meisten Ransomware-Programme entwickelt wurden; die Verschlüsselung von Dateien, die in einem System enthalten sind.

Ein Sicherheitsforscher, hyp3rlinx, der sich auf die Erforschung von Malware-Schwachstellen spezialisiert hat, untersuchte die Malware-Stämme, die zu den führenden Ransomware-Gruppen gehören. Interessanterweise sagte er, dass die Proben dem Hijacking von Dynamic Link Library (DLL) ausgesetzt waren, einer Methode, die traditionell von Angreifern selbst verwendet wird und Programme über bösartigen Code angreift.

„DLL-Hijacking funktioniert nur auf Windows-Systemen und nutzt die Art und Weise aus, wie Anwendungen nach den benötigten Dynamic Link Library (DLL)-Dateien suchen und diese in den Arbeitsspeicher laden“, erklärt Bleeping Computer. „Ein Programm mit unzureichenden Prüfungen kann eine DLL von einem Pfad außerhalb seines Verzeichnisses laden, Berechtigungen erhöhen oder unerwünschten Code ausführen.“

Die Exploits im Zusammenhang mit den von hyp3rlinx untersuchten Ransomware-Samples – die alle von Conti, REvil, LockBit, Black Basta, LockiLocker und AvosLocker stammen – autorisieren Code, der im Wesentlichen „die Malware-Vorverschlüsselung kontrollieren und beenden“ kann.

Aufgrund der Entdeckung dieser Schwachstellen war hyp3rlinx in der Lage, Exploit-Code zu entwerfen, der zu einer DLL zusammengesetzt wird. Von hier aus wird diesem Code ein bestimmter Name zugewiesen, wodurch der bösartige Code effektiv dazu gebracht wird, ihn als seinen eigenen zu erkennen. Der letzte Prozess beinhaltet das Laden des Codes, so dass er mit dem Prozess der Verschlüsselung der Daten beginnt.

Praktischerweise hat der Sicherheitsforscher ein Video hochgeladen , das zeigt, wie eine DLL-Hijacking-Schwachstelle (von der Ransomware-Gruppe REvil) verwendet wird, um den Malware-Angriff zu beenden, bevor er überhaupt beginnen kann.

Die Bedeutung der Entdeckung dieser Exploits

Wie von Bleeping Computer hervorgehoben, ist ein typischer Bereich eines Computers, der Ziel von Ransomware ist, ein Netzwerkstandort, der sensible Daten enthalten kann. Daher behauptet hyp3rlinx, dass nach dem Laden des DLL-Exploits durch Platzieren dieser DLL in bestimmten Ordnern der Ransomware-Prozess theoretisch gestoppt werden sollte, bevor er Schaden anrichten kann.

Malware ist in der Lage, Sicherheitsminderungsprozesse zu umgehen, aber hyp3rlinx betont, dass bösartiger Code völlig wirkungslos ist, wenn er auf DLLs trifft.

Ob die Untersuchung des Forschers jedoch zu dauerhaften Veränderungen bei der Verhinderung oder zumindest Verringerung der Auswirkungen von Ransomware- und Malware-Angriffen führt, ist eine ganz andere Frage.

„Wenn die Samples neu sind, ist es wahrscheinlich, dass der Exploit nur für kurze Zeit funktioniert, da Ransomware-Banden Fehler schnell beheben, insbesondere wenn sie den öffentlichen Raum erreichen“, sagte Bleeping Computer. „Auch wenn sich diese Ergebnisse noch eine Weile als brauchbar erweisen, laufen Unternehmen, die von Ransomware-Banden angegriffen werden, immer noch Gefahr, dass wichtige Dateien gestohlen und durchgesickert werden, da die Exfiltration, um das Opfer zur Zahlung eines Lösegelds zu zwingen, Teil der Vorgehensweise dieses Bedrohungsakteurs ist. ”

Dennoch fügte die Cybersecurity-Website hinzu, dass sich die Exploits von hyp3rlinx „zumindest als nützlich erweisen könnten, um Betriebsunterbrechungen zu verhindern, die erheblichen Schaden anrichten können“.

Obwohl es wahrscheinlich in naher Zukunft bald von Ransomware-Gruppen gepatcht wird, ist das Auffinden dieser Exploits ein ermutigender erster Schritt, um die Entwicklung und Verbreitung von gefährlichem Code zu beeinflussen. Es kann auch zu fortschrittlicheren Minderungsmethoden führen, um Angriffe zu verhindern.

Ransomware-Gruppen bestehen nicht aus Ihren durchschnittlichen Hackern. Das Erstellen und Verbreiten effektiver Malware ist an und für sich eine anspruchsvolle Aufgabe, und der finanzielle Glücksfall eines erfolgreichen Angriffs kann den Tätern Hunderte von Millionen Dollar einbringen. Ein beträchtlicher Teil dieser unrechtmäßig erlangten Gewinne wird von unschuldigen Personen abgezogen.