Especialista em cibersegurança usa vulnerabilidades do ransomware para impedir a encriptação dos dados

Apesar de o ransomware aproveitar vulnerabilidades dos sistemas das vítimas, estes programas maliciosos também têm as suas vulnerabilidades que podem ser exploradas.

Normalmente, o ransomware aproveita as vulnerabilidades do software e hardware para cumprir a sua missão, No entanto, o malware é também ele software e como tal também tem vulnerabilidades. Por isso um especialista em cibersegurança começou a tirar partido dessas vulnerabilidades e a publicar formas de minimizar os estragos de várias formas de ransomware.

O especialista em cibersegurança, John Page, é perito em descobrir bugs em malware, que depois publica no seu site e no Twitter. Recentemente, Page publicou uma forma de usar vulnerabilidades do ransomware para o impedir de enciptar os ficheiros que estão guardados nos discos das vítimas.

O especialista, descobriu que muitos tipos de ransomware são susceptíveis a ‘DLL hijacking’. Este método é usado normalmente para enganar um programa para que carregue um ficheiro .DLL que não seja suposto e assim executar outro software. O que foi descoberto por Page, é que se pode usar o mesmo método para bloquear parcialmente o funcionamento de vários tipos de ransomware.

No site, Page publicou várias vulnerabilidades e ficheiros DLL modificados para as versões mais recentes de ransomware, incluindo os populares REvil, Wannacry e Conti. Para que este método funcione, os ficheiros DLL modificados têm de estar nas pastas onde é mais provavel que os atacantes coloquem o malware. Page sugere que se coloquem esses ficheiros DLL em pastas partilhadas em rede que contenham dados importantes. Devido a que os DLL não são executados até que sejam acedidos pelo ransomware, estes DLL conseguem derrotar as funcionalidades de detecção de software antivírus que estão incluídas em muito ransomware.

O método de ‘DLL hijacking’ só funciona em Windows, por isso não tem utilidade em sistemas Mac, Linux ou Android. Também não consegue impedir o acesso indevido aos sistemas e o roubo e divulgação de informação. Apenas consegue impedir o ransomware de encriptar os ficheiros, o que impede os atacantes de pedirem um resgate pelo desbloqueio.

Claro que, após a divulgação destas vulnerabilidades, os responsáveis pelos vários tipos de ransomware vão arranjar maneira de as corrigir, mas os especialistas em cibersegurança vão continuar a descobrir mais.