En sikkerhedsforsker kendt under navnet h3perlinx opdagede sårbarheder i nogle af de mest almindelige ransomware familier, Herunder Conti, REvil, LockBit, AvosLocker, og den nyligt opdagede Black Basta.
Sikkerhedsforsker opdager svagheder i populær malware
De opdagede svagheder kunne udnyttes til at forhindre filkryptering i at ske. Forskeren analyserede adskillige malware-stammer fra de nævnte ransomware-grupper, og fandt ud af, at de alle var tilbøjelige til DLL-kapring. ironisk, denne metode bruges ofte af hackere til at injicere ondsindet kode i legitime applikationer.
Hvis en angriber kan få fat i en fil på et målrettet system (opnås via phishing og fjernbetjening), denne fil kan udføres senere, når brugeren kører et program, der er sårbart over for DLL-kapring. Teknikken virker specifikt på Windows-systemer ved at udnytte den måde, apps søger efter og indlæser deres tilsvarende DLL-filer i hukommelsen.
Endvidere, et program med utilstrækkelige kontroller kan indlæse DLL'er fra en sti uden for dets bibliotek, dermed opnå forhøjede privilegier eller eksekvere ondsindet kode. I tilfælde af de sårbare prøver af Conti, REvil, LockBit, LockiLocker, AvosLocker, og Black Basta, h3perlinx sagde, at de udnyttede kunne tillade kodekørsel til at kontrollere og afslutte malwaren i prækrypteringsfasen. Den udnyttelseskode, forskeren har oprettet, skal kompileres i en DLL med et specifikt navn for at gøre det muligt for den ondsindede kode at genkende den som sin egen og indlæse den til initieringsfilkryptering.
Forskeren leverede rapporter for hver analyseret malware-del og opdagede svaghed, inklusive prøvens hash, en proof-of-concept-kode, og en demovideo. Han har sporet sårbar malware i hans malvuln projekt.