RansomLord เป็นเครื่องมือโอเพ่นซอร์ส (open-source tool) ที่ช่วยสร้างไฟล์ PE แบบอัตโนมัติ พัฒนาโดย hyp3rlinx ซึ่งเขาบอกว่า Ransomware ก็มีจุดอ่อนเช่นกัน และเราสามารถก็จัดการมันได้ก่อนที่จะเกิดเรื่องร้ายๆ ขึ้น (ไฟล์ PE เหล่านี้ถูกนำไปใช้ในการโจมตีช่องโหว่ของ ransomware ในขั้นตอนก่อนการเข้ารหัสข้อมูล)
ฟีเจอร์สำคัญของเครื่องมือ:
– ใช้เทคนิค DLL hijacking : ซึ่งเป็นเทคนิคที่เหล่าอาชญากรไซเบอร์นิยมใช้ โดยจะเบี่ยงเบนการทำงานของ DLL ที่ถูกต้องไปใช้ไฟล์ประสงค์ร้ายที่ผู้โจมตีสร้างขึ้นแทน
– ใช้ช่องโหว่เพื่อป้องกันเครือข่าย ซึ่งเป็นกลยุทธ์แปลกใหม่ในการกำจัด ransomware ตัวอย่างช่องโหว่ที่เปิดเผยต่อสาธารณะครั้งแรกคือ Lockbit MVID-2022-0572
– ใช้ปัญญาประดิษฐ์ด้านช่องโหว่ของมัลแวร์ โดยคำสั่ง -m จะช่วยแม็พภัยคุกคามไปยัง DLL ที่มีความเสี่ยง ช่วยให้กำหนดเป้าหมายไปยังภัยคุกคามเฉพาะเจาะจงที่องค์กรหรืออุตสาหกรรมของคุณอาจถูกโจมตี
– โจมตีเครื่องมือ ransomware เพื่อเปิดเผยจุดอ่อน บังคับให้ผู้สร้างมัลแวร์ต้องปรับปรุงแก้ไขโค้ดเพื่ออุดช่องโหว่
– ประหยัดเวลาและแรง ช่วยลดช่องว่างความรู้ที่จำเป็นในการสร้างไฟล์ PE สำหรับ exploit anti-ransomware
– สร้างไฟล์ DLL จำนวน 12 ไฟล์ เพื่อป้องกัน ransomware ได้ 49 กลุ่ม ตัวอย่างเช่น ไฟล์ cryptsp.dll เพียงไฟล์เดียวสามารถป้องกัน ransomware ได้ถึง 15 กลุ่ม: Yanluowang, Conti, LokiLocker, BlueSky, Haron, Thanos, AvosLocker, Meow, BabukLocker, Cerber, Clop, Play, LockerGoga, Jaff, RuRansom
– ใช้ประโยชน์จากอัตราการโจมตีด้วยมัลแวร์ที่มักมีช่องโหว่ประเภท DLL hijacking นอกจากนี้ยังสามารถป้องกัน Trojan และโปรแกรมขโมยข้อมูลได้อีกด้วย เช่น Emotet MVID-2024-0684
ดาวน์โหลด RansomLord ได้ที่นี่
