RansomLord, un outil open source capable de piéger les ransomwares !
Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !
Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.
Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !
La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.
"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.
Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.
Merci pour l’info ! Comme toujours au top !
Un petit tuto pour une mise en place automatisée en prod ?
Mais du coup, puisque c’est libre de droit, le code est accessible à tout le monde.
Donc est-ce que ça peut pas permettre aux développeurs de ransomwares de voir ce que fait RansomLord et de le bypasser dans des nouvelles versions ?
Comme dit dans l’article, les ransomwares charges des bibliothèques (DLL) sur le système Windows. Si le ransomware inclus les DLL nécessaire au chiffrement dans l’application, il n’aura pas besoin des dlls de Windows, j’imagine…
J’avais vu cet outil mais la doc n’explique pas bien comment s’en servir…
Si quelqu’un a un tuto sous le coude…. 🙂
Je prend egalement ! Je suis dans le meme cas.. je ne vois pas bien comment l’utiliser..