Le ransomware REvil a une vulnérabilité qui peut être exploitée pour désactiver le malware avant qu’il ne crypte les fichiers sur un ordinateur infecté, a découvert un chercheur en sécurité.

Jean Page (hyp3rlinx), qui gère le site Web de suivi des vulnérabilités des logiciels malveillants Malvuln.com, a découvert que REvil recherche et exécute des DLL dans le répertoire où il se trouve. En détournant une DLL vulnérable et en exécutant un code spécialement conçu, il pouvait arrêter et mettre fin à REvil avant qu’il ne commence à chiffrer les fichiers.

« Nous n’avons pas besoin de nous fier aux signatures de hachage ou aux produits tiers, les malwares [sic] défaut fait le travail pour nous », Page a écrit. Avec cette technique, REvil sera stoppé net même s’il parvient à tuer les solutions anti-malware avant d’exécuter sa charge utile.

Page a publié une vidéo de preuve de concept (voir ci-dessous) qui montre comment la vulnérabilité peut être exploitée.

Les utilisateurs peuvent ajouter la DLL aux répertoires et aux partages réseau en tant que couche de défense supplémentaire.

« Les attaques de ransomware ciblant nos entreprises et notre infrastructure ont été sans fin, j’ai donc adopté une approche offensive contre défensive et j’ai essayé d’appliquer une contre-mesure d’exploitation et cela a fonctionné », a déclaré Page. La gorgée quotidienne.

« Un pourcentage énorme de personnes vulnérables »

Page a découvert que Conti, Lockbit et d’autres souches de rançongiciels largement utilisées présentent des vulnérabilités similaires. D’autres types de logiciels malveillants sont également vulnérables.

« Un pourcentage énorme de logiciels malveillants sont vulnérables à cette classe d’exploits, comme je l’ai remarqué après avoir analysé des milliers de logiciels malveillants », a-t-il déclaré.

Page a souligné que cette technique ne remplace pas les bonnes vieilles solutions de terminaux et doit être considérée comme une couche de défense complémentaire.

« Les solutions à ce jour sont très différentes (par exemple, les détections de signature ou les défenses comme la sauvegarde des données) et sont toujours valables », a déclaré Page. « L’interception et l’exploitation des ransomwares à l’aide de ce problème courant peuvent être considérées comme une autre couche de défense. »

« L’épine dans le flanc »

Page a reconnu que les développeurs de rançongiciels peuvent corriger leurs logiciels malveillants contre l’exploit, mais que la victoire dans la lutte contre la cybercriminalité ne doit pas être sous-estimée.

« Ils vont s’adapter, dit-il. «Mais si nous pouvons les forcer à refactoriser leur code et / ou à modifier leur processus de construction, cela peut être une épine ennuyeuse dans leur pied et relever la barre. Et rappelez-vous, les souches plus anciennes sont toujours affectées.

Darren Williams, PDG et fondateur de la société de cybersécurité BlackFog, a déclaré La gorgée quotidienne que si le code peut arrêter avec succès les attaques REvil, il nécessite une stratégie de déploiement sophistiquée d’un point de vue organisationnel.

« En voyant la menace très réelle de REvil, les organisations doivent envisager une approche facile à manœuvrer, adaptable et offrant une intégration transparente pour lutter de manière proactive contre ces menaces », a-t-il déclaré. « Pour ces organisations à risque, comme nous l’avons souvent vu, les vulnérabilités doivent être évaluées en permanence pour s’assurer que les protocoles appropriés sont en place bien à l’avance. »

Le gang des rançongiciels REvil peut avoir refait surface après une longue période d’inactivité, selon l’analyse de nouveaux échantillons de rançongiciels par des chercheurs de Secureworks. Les autorités russes ont arrêté 14 membres présumés du groupe en janvier de cette année, tandis que des sites Web associés à REvil ont mystérieusement disparu en juillet 2021.