Un bug dans les ransomwares populaires permettrait d’arrêter le chiffrement !
Un chercheur en sécurité a découvert un bug qui prend la forme d'une faille de sécurité au sein de ransomwares populaires, ce qui permettrait d'arrêter l'opération de chiffrement en cours sur une infrastructure compromise ! Néanmoins, ce n'est pas gagné d'avance...!
Les ransomwares populaires, parmi lesquels on retrouve Conti, REvil, Lockbit, AvosLocker ainsi que Black Basta, sont vulnérables à un bug de sécurité qui peut être exploité pour mettre fin à la charge finale de ces logiciels malveillants : l'opération de chiffrement des données.
Un chercheur en sécurité nommé Hyp3rlinx a découvert que les ransomwares sont vulnérables aux attaques de type DLL hijacking, ce qui permet l'injection de code malveillant au sein d'une application. En l'occurrence ici, le code injecté va permettre de mettre fin à l'activité du ransomware. Ceci est possible, car les ransomwares n'effectuent pas suffisamment de vérification.
Pour chaque échantillon de ransomwares qu'il a analysé, le chercheur Hyp3rlinx a mis en ligne un rapport qui détaille la vulnérabilité, le hash de l'échantillon utilisé, un exploit PoC et une vidéo de démonstration. A chaque fois, pour piéger le ransomware, il faut utiliser un code d'exploit compilé dans un fichier DLL et nommé d'une certaine manière.
Hyp3rlinx affirme qu'il faudrait placer cette DLL spéciale sur un emplacement accessible par le réseau et où se situent d'autres données, afin que le répertoire soit ciblé par le ransomware, et que la DLL soit chargée. Ainsi, l'exécution serait stoppée, ce qui permettrait d'arrêter le chiffrement des données.
Nous ne savons pas exactement sur quelles versions des ransomwares il s'est appuyé pour réaliser ses tests et ses démonstrations. Même si cela s'applique aux dernières versions et qu'en soit c'est intéressant, ce n'est pas facile à mettre en œuvre comme protection.
De plus, il est certain que les pirates informatiques vont mettre à jour leurs ransomwares pour éviter ce piège. Au-delà du chiffrement des données, les entreprises restent vulnérables à l'exfiltration des données qui peut donner lieu à une demande de rançon.