Ce chercheur vient de battre les gangs de rançongiciels à leur propre jeu

Hibou Gourou

Un chercheur en sécurité a découvert des failles clés concernant les rançongiciels et les logiciels malveillants populaires – une situation qui pourrait amener leurs créateurs à repenser entièrement l'approche pour infiltrer les victimes potentielles.

Actuellement, parmi les groupes basés sur les ransomwares les plus actifs figurent Conti, REvil, Black Basta, LockBit et AvosLocker. Cependant, comme le rapporte Bleeping Computer , les logiciels malveillants développés par ces cybergangs se sont avérés présenter des vulnérabilités de sécurité cruciales.

Une serrure cryptée numérique avec des multicouches de données.
Getty Images

Ces défauts pourraient très bien s'avérer être une révélation préjudiciable pour les groupes susmentionnés – en fin de compte, de telles failles de sécurité peuvent être ciblées afin d'empêcher ce pour quoi la majorité des ransomwares sont créés ; le cryptage des fichiers contenus dans un système.

Un chercheur en sécurité, hyp3rlinx, spécialisé dans la recherche sur la vulnérabilité des logiciels malveillants, a examiné les souches de logiciels malveillants appartenant aux principaux groupes de ransomwares. Fait intéressant, il a déclaré que les échantillons étaient exposés au piratage de la bibliothèque de liens dynamiques (DLL), qui est une méthode traditionnellement utilisée par les attaquants eux-mêmes qui cible les programmes via un code malveillant.

"Le piratage de DLL ne fonctionne que sur les systèmes Windows et exploite la façon dont les applications recherchent et chargent en mémoire les fichiers DLL (Dynamic Link Library) dont elles ont besoin", explique Bleeping Computer. "Un programme avec des vérifications insuffisantes peut charger une DLL à partir d'un chemin en dehors de son répertoire, élevant les privilèges ou exécutant du code indésirable."

Les exploits associés aux échantillons de ransomware qui ont été inspectés par hyp3rlinx – qui sont tous dérivés de Conti, REvil, LockBit, Black Basta, LockiLocker et AvosLocker – autorisent le code qui peut essentiellement "contrôler et mettre fin au pré-chiffrement des logiciels malveillants".

Grâce à la découverte de ces failles, hyp3rlinx a pu concevoir un code d'exploitation qui est assemblé dans une DLL. À partir de là, ce code se voit attribuer un certain nom, incitant ainsi efficacement le code malveillant à le détecter comme étant le sien. Le processus final consiste à charger ledit code afin qu'il commence le processus de cryptage des données.

De manière pratique, le chercheur en sécurité a mis en ligne une vidéo qui montre comment une vulnérabilité de piratage de DLL est utilisée (par le groupe de rançongiciels REvil) pour mettre fin à l'attaque de logiciels malveillants avant même qu'elle ne puisse commencer.

Représentation numérique d'un ordinateur portable piraté par un pirate informatique.
Graphique des tendances numériques

L'importance de la découverte de ces exploits

Comme le souligne Bleeping Computer, une zone typique d'un ordinateur ciblée par un rançongiciel est un emplacement réseau pouvant héberger des données sensibles. Par conséquent, hyp3rlinx affirme qu'après le chargement de l'exploit DLL en plaçant cette DLL dans certains dossiers, le processus de ransomware devrait théoriquement être arrêté avant qu'il ne puisse infliger des dommages.

Les logiciels malveillants sont capables d'échapper aux processus d'atténuation de la sécurité, mais hyp3rlinx souligne que le code malveillant est totalement inefficace lorsqu'il fait face à des DLL.

Cela dit, la question de savoir si l'enquête du chercheur aboutit à des changements durables dans la prévention ou au moins la réduction de l'impact des attaques de ransomwares et de logiciels malveillants est une toute autre question.

"Si les échantillons sont nouveaux, il est probable que l'exploit ne fonctionnera que pendant une courte période car les gangs de rançongiciels corrigent rapidement les bogues, en particulier lorsqu'ils atteignent l'espace public", a déclaré Bleeping Computer. "Même si ces découvertes s'avèrent viables pendant un certain temps, les entreprises ciblées par les gangs de rançongiciels courent toujours le risque de se faire voler et fuir des fichiers importants, car l'exfiltration pour faire pression sur la victime pour qu'elle paie une rançon fait partie du modus operandi de cet acteur menaçant. ”

Pourtant, le site Web de cybersécurité a ajouté que les exploits d'hyp3rlinx "pourraient s'avérer utiles au moins pour prévenir les perturbations opérationnelles, qui peuvent causer des dommages importants".

En tant que tel, bien qu'il soit susceptible d'être corrigé par des groupes de rançongiciels dans un avenir immédiat, la découverte de ces exploits est une première étape encourageante pour avoir un impact sur le développement et la distribution de code dangereux. Cela peut également conduire à des méthodes d'atténuation plus avancées pour prévenir les attaques.

Les groupes de rançongiciels ne se composent pas de vos pirates ordinaires. Créer et diffuser des logiciels malveillants efficaces est une tâche sophistiquée en soi, et la manne financière d'une attaque réussie peut générer des centaines de millions de dollars pour les auteurs. Une part considérable de ces gains mal acquis provient d'individus innocents.