Un ricercatore noto come hyp3rlinx ha scoperto una vulnerabilità che, se sfruttata, può neutralizzare la crittografia dei file eseguita da ransomware come Conti, REvil, Black Basta, LockBit e AvosLocker.
Durante l'analisi dei ransomware utilizzati dai criminali informatici, il ricercatore di sicurezza ha scoperto che i campioni esaminati erano vulnerabili alle tecniche di DLL hijacking, che prevede l'inserimento di codice dannoso all'interno di applicazioni valide. Tale tecnica, però, è efficace solo su Windows, sfruttando il metodo di ricerca e caricamento in memoria dei file DLL necessari da parte delle applicazioni.
Individuando applicazioni le cui verifiche di sicurezza siano insufficienti, è possibile caricare file DLL da percorsi esterni alla directory dell'app stessa, con la possibilità di innalzare i privilegi (ad es. da utente ad amministratore) o eseguire codice esterno. Nei campioni vulnerabili dei ransomware citati in apertura, il ricercatore ha creato un codice di exploit da compilare in un DLL con una nomenclatura specifica, affinché venga riconosciuto dal codice e venga caricato per l'avvio della crittografia dei dati. In questo modo, è possibile fare in modo di cessare le funzioni di pre-crittografia dei malware. In questo video è possibile osservare l'exploit della vulnerabilità nel ransomware REvil:
Al caricamento del file DLL, il ransomware viene fermato prima che parta la crittografia dei file. Non è nota la versione del malware campionato da hyp3rlinx, tuttavia è probabile che gli hacker provvedano quanto prima ad aggiornare i propri strumenti per correggere la vulnerabilità. In ogni caso, questa scoperta potrebbe essere utile quantomeno per evitare l'interruzione dell'operatività, sebbene i criminali possano sempre ricattare le vittime ad esempio esfiltrando i dati e minacciando di divulgarli se non verrà pagato un riscatto.
Per maggiori informazioni su hyp3linx e i suoi sforzi per trovare vulnerabilità in diversi tipi di malware, visitate il sito del progetto Malvulin, all'interno del quale il ricercatore svolge la propria attività.