Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование

Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование

Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование

Операторы программ-вымогателей часто прибегают к эксплуатации уязвимостей для проникновения в корпоративные сети, однако их вредоносы тоже содержат бреши. Эксперт разработал эксплойты для багов в распространённых шифровальщиках, что позволит заблокировать их деятельность.

Как новые семейства программ-вымогателей вроде REvil, Conti и LockBit, так и новички вроде Black Basta и AvosLocker содержат ряд уязвимостей, которые можно использовать для блокировки финальной стадии атаки — шифрования.

Изучив несколько образцов популярных шифровальщиков, эксперт в области кибербезопасности, известный под ником hyp3rlinx, нашёл интересную брешь — возможность перехвата DLL (DLL hijacking). Как правило, этот вектор используют сами злоумышленники для внедрения вредоносного кода в легитимное приложение.

Специалист разработал код демонстрационного эксплойта (proof-of-concept, PoC) и даже записал на видео процесс использования уязвимости. Чтобы другим исследователям было проще ориентироваться, hyp3rlinx приложил хеши семплов и описал тип выявленных багов.

В случае с вредоносами Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker, по словам эксперта, эксплойт позволяет «контролировать и прерывать процесс шифрования».

 

Для действенной защиты от перечисленных программ-вымогателей hyp3rlinx рекомендует поместить DLL в ту директорию, которую операторы будут использовать для запуска шифровальщика.

Напомним, что также упоминавшийся выше AvosLocker теперь использует легитимный драйер Avast Anti-Rootkit Driver для обхода антивируса.

QR вместо документов: у Госуслуг появилось приложение для проверки данных

В семействе Госуслуг пополнение: появилось приложение «Госкан». Оно нужно сотрудникам организаций и ИП, чтобы проверять данные граждан по QR-кодам из приложений «Госуслуги», «Госуслуги Авто» и Цифрового ID в МАКС. Сценарий простой: человеку нужно подтвердить возраст, статус или наличие льгот — он показывает QR-код в одном из поддерживаемых приложений.

Сотрудник сканирует его через «Госкан» и видит результат проверки на своём экране. Без ксерокопий, диктовки паспортных данных и вечного «а покажите ещё что-нибудь».

Чтобы сотрудник мог пользоваться приложением, организация или ИП должны выдать ему машиночитаемую доверенность на Госуслугах. После входа в «Госкан» она подтянется автоматически. Если доверенности нет, приложение не станет делать вид, что всё нормально, а попросит сначала оформить МЧД.

Отдельный плюс для тех, кто работает сразу с несколькими компаниями или ИП: «Госкан» поддерживает несколько машиночитаемых доверенностей. Между ними можно переключаться прямо в приложении, без надоедливого выхода из аккаунта и повторного входа.

Важный момент — данные гражданина не сохраняются на устройстве сотрудника. После проверки доступ к ним не остаётся. То есть приложение показывает результат здесь и сейчас, а не превращает телефон проверяющего в маленький архив чужих персональных данных.

Пока «Госкан» доступен только на Android. Скачать приложение можно в RuStore, Google Play и AppGallery.

RSS: Новости на портале Anti-Malware.ru