Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование

Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование

Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование

Операторы программ-вымогателей часто прибегают к эксплуатации уязвимостей для проникновения в корпоративные сети, однако их вредоносы тоже содержат бреши. Эксперт разработал эксплойты для багов в распространённых шифровальщиках, что позволит заблокировать их деятельность.

Как новые семейства программ-вымогателей вроде REvil, Conti и LockBit, так и новички вроде Black Basta и AvosLocker содержат ряд уязвимостей, которые можно использовать для блокировки финальной стадии атаки — шифрования.

Изучив несколько образцов популярных шифровальщиков, эксперт в области кибербезопасности, известный под ником hyp3rlinx, нашёл интересную брешь — возможность перехвата DLL (DLL hijacking). Как правило, этот вектор используют сами злоумышленники для внедрения вредоносного кода в легитимное приложение.

Специалист разработал код демонстрационного эксплойта (proof-of-concept, PoC) и даже записал на видео процесс использования уязвимости. Чтобы другим исследователям было проще ориентироваться, hyp3rlinx приложил хеши семплов и описал тип выявленных багов.

В случае с вредоносами Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker, по словам эксперта, эксплойт позволяет «контролировать и прерывать процесс шифрования».

 

Для действенной защиты от перечисленных программ-вымогателей hyp3rlinx рекомендует поместить DLL в ту директорию, которую операторы будут использовать для запуска шифровальщика.

Напомним, что также упоминавшийся выше AvosLocker теперь использует легитимный драйер Avast Anti-Rootkit Driver для обхода антивируса.

Спецоперация с посылкой: мошенники начали превращать жертв в курьеров

МВД России предупредило о новой мошеннической схеме, в которой человека могут не просто развести на деньги, но и втянуть в преступление. Аферисты представляются сотрудниками Центробанка, спецслужб, правоохранительных органов или финансовых организаций и просят «помочь» с якобы важной операцией: забрать посылку, перевезти деньги или задекларировать чужие средства.

В Управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД предупреждают: если специалист Центрального банка просит забрать посылку и задекларировать чужие деньги — это мошенники.

И самое неприятное: человек, который согласится, рискует стать не помощником, а соучастником преступления. Схема строится на старой, но всё ещё рабочей легенде: жертве внушают, что она участвует в тайной проверке, расследовании или спецмероприятии.

Для убедительности аферисты прикрываются громкими названиями ведомств и должностей, давят срочностью и требуют никому ничего не рассказывать. В итоге владелец смартфона превращается в курьера, который своими руками помогает преступникам.

В МВД подчёркивают: государственные организации не нанимают случайных граждан для внештатной работы по телефону и не просят участвовать в секретных операциях. Центробанк, полиция и спецслужбы не отправляют людей за чужими деньгами, не поручают перевозить посылки и не просят декларировать средства неизвестного происхождения.

Так что если на том конце провода внезапно появился сотрудник ЦБ с просьбой помочь стране, банку или следствию, лучший вклад в безопасность уже понятен: положить трубку и не играть в курьера для мошенников.

RSS: Новости на портале Anti-Malware.ru