En bref : les logiciels malveillants fonctionnent en exploitant les vulnérabilités des logiciels et du matériel. Cependant, les logiciels malveillants eux-mêmes sont également des logiciels et ont inévitablement leurs propres vulnérabilités. Un chercheur en sécurité a commencé à en profiter en publiant des exploits utilisant des vulnérabilités dans plusieurs souches de rançongiciels.
Le chercheur en sécurité John Page (alias hyp3rlinx) se spécialise dans la recherche de bugs dans les logiciels malveillants et dans leur publication sur son site Web et Compte Twitter. Récemment, il a publié un moyen d’utiliser ces vulnérabilités pour empêcher les rançongiciels de chiffrer les fichiers.
Il s’avère que de nombreuses formes de ransomwares sont susceptibles d’être piratées par des DLL. Normalement, les attaquants utilisent le détournement de DLL pour inciter un programme à charger un fichier DLL qu’il n’est pas censé charger, ce qui les fait exécuter du code indésirable. Cependant, les défenseurs peuvent actuellement utiliser cette technique pour détourner et bloquer partiellement les ransomwares.
Le site Web de Page contient des vulnérabilités et des DLL personnalisées pour les dernières versions de ransomwares, notamment REvil, Wannacry, Conti, etc. Pour fonctionner correctement, les DLL doivent être en attente dans des répertoires où les attaquants sont susceptibles de placer leurs logiciels malveillants. Page suggère une approche en couches, comme les placer sur un partage réseau contenant des données importantes. Étant donné que les DLL ne s’exécutent pas tant que le ransomware n’y a pas accès, elles contournent la tendance des ransomwares à subvertir la protection antivirus.
Le piratage de DLL ne fonctionne que sur Windows, donc malheureusement la méthode de Page ne protégera pas les utilisateurs Mac, Linux ou Android. Cela n’empêche pas non plus les gangs de rançongiciels d’accéder aux systèmes et de divulguer des données. Il arrête uniquement le cryptage, ce qui signifie que les attaquants ne peuvent pas racheter les données de leurs victimes (à moins que la menace ne soit de les divulguer).
Ces vulnérabilités étant désormais publiques, les développeurs de ransomwares vont certainement les corriger. Espérons que les chercheurs continuent d’en découvrir davantage.