Falha de segurança em ransomwares pode bloquear o sequestro de dados
Por Dácio Castelo Branco | Editado por Claudio Yuge | 04 de Maio de 2022 às 19h05
Muito se fala sobre a utilização de exploits em computadores e redes como vetores de propagação de ameaças, mas um pesquisador de segurança virtual descobriu que essas situações também ocorre com os malwares. Falhas nestes softwares maliciosos também podem ser utilizadas para impedir infecções mais sérias.
- Especialistas ligam novas amostras de ransomware à Coreia do Norte
- Golpe usa perfis verificados roubados no Twitter para furtar outras contas
Segundo um relatório divulgado publicamente, o pesquisador de segurança hyp3rlinx descobriu que os arquivos que propagam as ameaças ransomware de gangues como Conti, REvil, Black Basta, LockBit e AvosLocker contam com questões de segurança que, ao serem exploradas, bloqueiam o processo de criptografia dos dados — impossibilitando a ocorrência do sequestros de dados. Uma demonstração da prova de conceito da descoberta pode ser vista no video abaixo:
O pesquisador descobriu que todos os arquivos propagadores das ameaças citadas acima eram vulneráveis a um método que permite a injeção de código malicioso (ou benigno, no caso) — o sequestro de DLL, que só funciona em sistemas Windows.
A partir da exploração dessa vulnerabilidade, o pesquisador conseguiu obter o controle total das ameaças e parar suas instalações e execuções antes que elas pudessem criptografar os arquivos da máquina infectada.
Roubo de arquivos não é impedido pela vulnerabilidade
Mesmo que a principal característica dos ransomware seja a criptografia de arquivos, esses ataques também roubam arquivos normalmente — uma situação que, já pode ter ocorrido no momento em que a vulnerabilidade descoberta por hyp3rlinx poderia ser explorada.
Com isso, independentemente da viabilidade da solução criada pelo pesquisador continue viável ou não no futuro, empresas ainda devem proteger seus sistemas contra ameaças ransomware, já que mesmo que não precisem resgatar seus arquivos, informações podem ser vazadas por decorrência do golpe.
Fonte: BleepingComputer