Peretas biasanya mengeksploitasi kerentanan di jaringan perusahaan untuk mendapatkan akses, tetapi seorang peneliti telah membalikkan keadaan dengan menemukan eksploitasi di ransomware dan malware paling umum yang didistribusikan saat ini.
Malware dari operasi ransomware terkenal seperti Conti, REvil, Black Basta, LockBit, atau AvosLocker, semuanya datang dengan masalah keamanan yang dapat dieksploitasi untuk menghentikan langkah terakhir dan paling merusak dari serangan, enkripsi file.
Menganalisis jenis malware dari geng ransomware ini, seorang peneliti keamanan bernama hyp3rlinx menemukan bahwa sampel tersebut rentan terhadap DLL hijacking, sebuah metode yang biasanya dimanfaatkan oleh penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah.
Untuk setiap bagian malware yang dianalisis, peneliti memberikan laporan yang menjelaskan jenis kerentanan yang ditemukan, hash sampel, eksploitasi proof-of-concept (PoC), dan video demo.
Untuk sampel ransomware yang rentan dari Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker, peneliti mengatakan bahwa exploit mereka memungkinkan mengeksekusi kode untuk “mengendalikan dan menghentikan pra-enkripsi malware.”
Di bawah ini adalah video dari peneliti yang mengeksploitasi kerentanan DLL hijacking di REvil ransomware untuk menghentikan malware sebelum proses enkripsi dimulai.
Untuk bertahan melawan keluarga ransomware ini, hyp3rlinx mengatakan bahwa DLL dapat ditempatkan di lokasi di mana penjahat siber cenderung menjalankan ransomware mereka, seperti lokasi jaringan dengan data penting.
Berikut adalah laporan kerentanan untuk sampel ransomware yang dianalisis: Conti, REvil, LockBit, Black Basta, LockiLocker, dan AvosLocker.
Selengkapnya: Bleeping Computer
