BlackMatter ransomware deja de funcionar debido a la presion policial

Un investigador con el nombre de hyp3rlinx descubrió que algunas de las cepas de ransomware más populares, como Conti, REvil, LockBit y muchas otras, tienen una falla que las hace vulnerables al secuestro de DLL.

Al explotar la falla, el investigador pudo evitar que el ransomware lograra su principal propuesta de venta: el cifrado de archivos.

Como informa BleepingComputer, el secuestro de DLL generalmente se usa para inyectar códigos maliciosos en aplicaciones legítimas. Sin embargo, para estas cepas de ransomware, el investigador creó una prueba de concepto y grabó un video de demostración que muestra cómo se hace.

Hackear archivos DLL

El secuestro de DLL explota la forma en que las aplicaciones encuentran y cargan memoria en archivos de biblioteca de vínculos dinámicos (DLL). Un programa que carece de suficientes comprobaciones puede cargar una DLL desde una ruta fuera de su directorio, esencialmente elevando los privilegios y permitiendo la ejecución de código arbitrario.

En este caso, el investigador creó un código único y lo compiló en una DLL con un nombre familiar para el ransomware. También es importante, señala el investigador, que la DLL se coloque en una ubicación donde los operadores de ransomware suelen colocar y ejecutar su malware, como una ubicación de red con datos clave.

Esto mataría el ransomware en su creación.

Lo que hace que este método sea aún más mortal es el hecho de que no se puede categorizar como una solución de seguridad y, como tal, no se puede eludir de la misma manera que las cepas de ransomware suelen eludir los antivirus y otras soluciones de ciberseguridad.

La gran pregunta es: ¿cuánto durará esta medida de mitigación? Los operadores de ransomware a menudo actualizan y actualizan sus productos, y si se trata de una falla recién descubierta, probablemente solo sea cuestión de tiempo antes de que se solucione.

Desafortunadamente, los operadores de ransomware son bastante rápidos y diligentes, y podemos esperar que el agujero se tape más temprano que tarde.

Vía: BleepingComputer

Share This