Populaire ransomware door middel van kwetsbaarheid uit te schakelen

[Captain Kirk]

Beveiligingsonderzoeker John Page heeft een kwetsbaarheid in verschillende populaire ransomware-exemplaren ontdekt waardoor het mogelijk is om de malware voordat het versleutelen van bestanden begint uit te schakelen. Dat meldt de onderzoeker op Twitter en laat hij in verschillende YouTube-video's zien.

Het beveiligingslek in kwestie betreft dll-hijacking. De ransomware-exemplaren zoeken in de huidige directory waar ze worden uitgevoerd naar dll-bestanden en voeren die uit. Door een speciaal geprepareerd dll-bestand in deze directory te plaatsen is het mogelijk om de ransomware uit te schakelen voordat die met het versleutelen van bestanden begint aldus de onderzoeker.

"Antivirussoftware is voor het uitvoeren van de malware uit te schakelen, maar niet deze methode, aangezien er niets uit te schakelen is, Het dll-bestand staat gewoon op de harde schijf. Vanuit verdedigingsperspectief kun je, als onderdeel van een meerlaagse beveiligingsaanpak, het dll-bestand toevoegen aan een specifieke netwerkmap die belangrijke data bevat", merkt Page op.

De onderzoeker maakte een proof-of-concept exploit om het beveiligingslek te demonstreren, maar merkt op dat het gebruik op eigen risico is. De kwetsbaarheid is onder andere aanwezig in de ransomware-exemplaren AvosLocker, REvil, LockBit en Conti.

 

bron: https://www.security.nl