Actualités

“Cela peut potentiellement permettre d’exécuter notre propre code, de le contrôler et de mettre fin au pre-chiffrement du malware” : quand LockBit, Conti et REvil sont partiellement déjoués ! (coup compte triple voire plus…)

Toujours en action vive dans la nature, les ransomwares REvil, LockBit et Conti semblent avoir trouvé, pour l’instant du moins, leur maître : un chercheur-expert sécuritaire vient de déjouer l’étape du chiffrement de ces programmes malicieux… ainsi que pour de multiples – autres – ransomwares !

 

 

Prénommé hyp3rlinx, John Page (Malvuln), la personne, depuis le 1er – 2 Mai 2022, a établi un PoC (notamment publié sur son compte Youtube dédié) fonctionnel en détournement cette phase de “pre-chiffrement”, originellement, depuis Lockbit. L’exploit consiste à faire croire au programme (ici, LockBit) que le DLL (du chercheur, conçu et instillé, donc, par la suite, dans les dossiers-fichiers) est bien légitime et du cru originel de l’équipe des cyber-attaquants (ce qui n’est pas le cas puisqu’il s’agit d’un leurre). Si cela ne peut empêcher l’exécution du programme (général), l’introduction de cette DLL en remplacement de la DLL malicieuse responsable du pre-chiffrement génère un code-erreur (assez bref, succinct) et le chiffrement ne peut donc se faire.

Le PoC ainsi établit a été répercuté pour les ransomwares suivants, en plus de LockBit :

  • Conti,
  • REvil,
  • RedLine Stealer,
  • WannaCry (ransomware),
  • AvosLocker,
  • BlackBasta,
  • LokiLocker,
  • CTBLocker,
  • Cerber,
  • CryptoWall.

 

La liste semble s’allonger de jours en jours et l’exploit fait partie d’un logiciel de contournement du cru du chercheur nommé Adversary3 : la v2.0 intègre cette fonctionnalité (DLL).

 

Une nouvelle qui intervient alors que, depuis le 3 Mai 2022, une librairie-bibliothèque numérique située en Allemagne (EKZ Bibliotheks Service) aurait été impactée par le ransomware LockBit : sans citer la nature de la cyber-attaque (qui aurait été revendiquée par les cyber-attaquants avec une publication des données au-delà du 28 Avril 2022 si une rançon n’avait pas été versée) ni même indiquer la teneur de l’ex-filtration de données potentielle, le service de commandes en ligne n’est pas possible mais il est indiqué que les commandes par voie traditionnelles (mail, telecopieur-fax, telephone) restent possibles. “Étant donné que la boutique n’est pas encore disponible, nous vous demandons de renoncer personnellement à vos commandes au 07121-1440 ou de l’envoyer par e-mail à la bibliothèquestrichtung@ekz.de. Vous pouvez nous joindre par fax au 07121-144 478”, est-il ajouté sans plus de précisions sur le rétablissement ou les évolutions-enquêtes de cette cyber-attaque… A veiller !

 

 

Sources




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6