Un développeur a créé un outil anti-ransomware open source baptisé RansomLord. Ce logiciel automatise la création de fichiers PE exploitant les vulnérabilités des ransomwares avant leur chiffrement. Son créateur l'a rendu public sur GitHub.
On n'est jamais mieux servi que par soi-même en matière de sécurité de nos données. « J'ai créé RansomLord pour démontrer que les rançongiciels ne sont pas invincibles, qu'ils ont des vulnérabilités et que leurs développeurs font des erreurs comme tout le monde ». Un constat simple qui donne naissance à une idée de génie, issu d'un énorme travail d'un développeur, Hyp3rlinx, qui a créé de toutes pièces RamsomLord, un outil capable de contrer les ransomwares en exploitant leurs failles avant qu'ils ne chiffrent les données.
Ce logiciel déploie des exploits pour défendre les réseaux informatiques. Sa première cible a été le ransomware LockBit (faille MVID-2022-0572). Et cerise sur le gâteau, il partage RansomLord en open source, sur GitHub.
01 juillet 2024 à 11h25
RansomLord : Un outil puissant pour combattre les ransomwares
RansomLord exploite les tactiques de détournement de DLL couramment utilisées par les cybercriminels. Il automatise la création de fichiers PE en exploitant les vulnérabilités des ransomwares avant leur chiffrement. Les fichiers PE (Portable Executable) sont des fichiers exécutables sur les systèmes Windows qui contiennent le code des programmes et applications.
Son drapeau « -m » permet de mapper les menaces aux DLL vulnérables, ciblant ainsi les ransomwares visant une organisation ou un secteur spécifique. En exposant les failles de ces logiciels malveillants, l'outil force leurs développeurs à refondre leur code pour corriger les vulnérabilités. Les hackers, tout affairés à mettre les mains dans le cambouis de leur basse besogne, laissent le temps aux équipes de sécurité de parer aux attaques. Un gain de temps que l'on sait précieux.
RansomLord expose actuellement 12 fichiers DLL permettant de se défendre contre 49 familles de ransomwares, comme _cryptsp.dll_ qui vainc à lui seul 15 variantes dont Yanluowang, Conti et LokiLocker. Il profite du taux élevé de logiciels malveillants souffrant de ce vecteur d'attaque pour neutraliser d'autres menaces telles que les chevaux de Troie et les voleurs d'informations, à l'instar d'Emotet (MVID-2024-0684).
RansomLord en libre accès sur GitHub
Hyp3rlinx a choisi de partager gratuitement RansomLord sur la plateforme GitHub, probablement le service web d'hébergement et de gestion de développement de logiciels le plus populaire, bien que lui aussi vulnérable, comme en témoigne la faille de sécurité en avril 2024 qui a permis aux hackers de diffuser… un malware sur la plateforme. Il utilise Git, un logiciel de gestion de versions décentralisé, pour le suivi des modifications dans les fichiers sources. Les développeurs peuvent ainsi collaborer sur des projets depuis n'importe où. Cette décision permet à tous d'accéder à cet outil anti-ransomware performant.
En mettant RansomLord en open source sur GitHub, hyp3rlinx offre à la communauté la possibilité d'étudier, d'améliorer et d'adapter ce logiciel à ses besoins spécifiques. Cela permettra de rester un coup d'avance sur les ransomwares en constante évolution. Toute organisation ou particulier confronté à cette menace pourra désormais se protéger efficacement grâce à RansomLord et son Robin des Bois 3.0. D'ailleurs, hyp3rlink n'est pas le seul « gentil hacker » à œuvrer pour le bien des données personnelles et la sécurité des utilisateurs. En avril 2024, une équipe a créé PedoRansom, un malware qui piège les utilisateurs qui consultent des contenus à caractère pédopornographique. Un peu plus tôt, la cyberattaque de Lyon Terminal avait été commise par le gang 8base, qui se disent « honnêtes ».
Source : HelpNet Security, RansomLord sur GitHub
