RIPlace è nuova tecnica ransomware bypass che è stato recentemente rilevato da ricercatori di sicurezza. La tecnica si basa su poche righe di codice per successo a eludere built-in funzioni di protezione ransomware, presente in soluzioni di sicurezza e di Windows 10.
La tecnica RIPlace è stato scoperto da alcuni ricercatori di sicurezza di Nyotron – Daniel Prizmant, Guy Meoded, Freddy Ouzan, e Hanan Natan. I ricercatori hanno contattato vendor di sicurezza e di Microsoft in merito alla questione. Tuttavia, a quanto pare solo due fornitori hanno preso le misure necessarie per affrontare il problema e garantire il prodotto interessato.
Le altre società sembrano credere che RIPlace è una “non-problema", i ricercatori hanno detto in una conversazione con Bleeping Computer. società interessate comprendono nomi come Microsoft, Symantec, Sophos, Carbone nero, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, e PANW Trappole. Kaspersky e Carbon Black sono le uniche società che hanno assicurato i loro prodotti contro la tecnica di bypass RIPlace.
Tecnica RIPlace ransomware Bypass Explained
Per capire come funziona il bypass ransomware, abbiamo bisogno di guardare i dati codifica modo ransomware. Per la crittografia a prendere posto, il ransomware ha per crittografare i file mirati e sostituirli con dati crittografati tramite una delle tre metodi principali:
1. Aprire e leggere il file originale
2. contenuti Encrypt in memoria
3. Distruggere il file originale:
– La scrittura di contenuti criptati nel file originale,-
– O salvare file crittografato su disco, durante la rimozione del file originale utilizzando l'operazione DeleteFile,
– O salvare file crittografato su disco, poi sostituirlo con il file originale utilizzando l'operazione Rename.
Per la protezione efficace ransomware, tutte e tre le condizioni devono essere neutralizzati. Tuttavia, sembra che il terzo metodo di sostituire i file in modo specifico potrebbe consentire l'elusione della protezione ransomware.
Detto, "RIPlace è una tecnica di file di sistema di Windows che, quando viene utilizzato per i file maliziosamente crittografare, può eludere la maggior parte dei metodi anti-ransomware esistenti," il ricercatori hanno spiegato. La ragione RIPlace è così difficile è che sfrutta un difetto di progettazione nel sistema operativo di Windows, piuttosto che una specifica falla nel software. Inoltre, la tangenziale è facile da implementare.
I ricercatori hanno anche fornito due video per mostrare come trucchi RIPlace due prodotti popolari la sicurezza degli endpoint - Symantec Endpoint Protection e Microsoft Defender antivirus.
Maggiori informazioni su RIPlace è disponibile.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: