 Resumen: Un investigador de seguridad, también conocido como hyp3rlinx, informo sobre una vulnerabilidad de severidad crítica en distintas variantes de malware y ransomware, que se distribuyen hoy en día.
Entre las variantes afectadas, se encuentra el malware de reconocidas operaciones ransomware, tales como Conti, AvosLocker, LockBit, REvil, y del recién detectado ransom Black Basta.
De acuerdo con el informe, las muestras de las operaciones podrían ser comprometidas mediante el secuestro de la DLL, un método generalmente utilizado por los ciberatacantes para inyectar código malicioso en las aplicaciones vulnerables.
Ahora bien, la explotación exitosa de las vulnerabilidades, le permitiría a los usuarios detener el cifrado de archivos de las operaciones maliciosas en curso.
Para poder desplegar este método, los usuarios deberán utilizar un código creado por hyp3rlinx, que más adelante será compilado en una DLL, con el objetivo de que el malware lo reconozca como propio.
Más adelante, la DLL deberá ser cargada dentro de una ubicación específica, que podría ser de interés para los ciberatacantes
Una vez cargada la DLL, el proceso del ransomware debería haber finalizado, interrumpiendo el cifrado de datos.
Finalmente, aunque este nuevo método podría ser de gran ayuda para las víctimas de las operaciones ransomware, es probable que la vulnerabilidad únicamente pueda ser aprovechada por un corto periodo de tiempo, antes de que los atacantes modifiquen sus herramientas e impidan la interrupción de sus operaciones.
Además, aun cuando los usuarios puedan recurrir al secuestro de la DLL para proteger sus archivos, los atacantes aún podrían filtrar o robar información importante de los usuarios comprometidos.
Dicho esto, se le recomienda a todas las organizaciones o administradores, seguir las medidas necesarias para prevenir la instalación de este tipo de malware.
Recomendaciones: Medidas para prevenir un ataque ransomware Hacer copias de seguridad Mantener el software parcheado y actualizado Evitar darle click a correos electrónicos sospechosos
Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro. Referencias: https://securityaffairs.co/wordpress/130883/malware/stoppin-ransomware-with-dll-hijacking.html
|
SÍGUENOS