No, non è vero, il malware o il ransomware possono effettivamente fare il suo lavoro senza acquisire privilegi di amministratore come un normale utente.
Oltre a ciò, il malware o il ransomware utilizza exploit noti come quello degli exploit NSA che sono trapelati dal gruppo Shadow Brokers , allo stesso modo abbiamo esempi: il malware WannaCry che ha sorpreso il mondo con un numero enorme di computer infetti ha effettivamente sfruttato l'exploit Eternalblue che sfrutta la vulnerabilità nel Relè SMB Windows . Ora il ransomware ha continuato a crittografare i file preziosi dell'utente.
Rooting o gaining admin privileges part
Quindi, più spesso il ransomware punta principalmente a exploit conosciuti , quindi sì, anche io posso sviluppare un malware che può indirizzare i sistemi Windows non corretti e inoltre se voglio ottenere l'accesso come root eseguire qualcosa di più dannoso. Ad esempio, il mio amico e ricercatore SandboxEscaper ha rivelato un bug alpc LPE in Windows all'inizio di questa settimana , possiamo effettivamente implementarlo nel malware per ottenere l'escalation dei privilegi locali dopo aver scaricato un eseguibile o un malware sviluppiamo ed eseguiamo azioni più dannose sul sistema. Tuttavia, il rooting o l'ottenimento dei privilegi di amministratore non è sempre richiesto.
Bottom line: Ransomware utilizza specifici exploit conosciuti e per bersagliare un livello specifico di danno potrebbe anche incatenare bug Remote con LPE per ampliare il suo impatto ma, questo non è usuale dato che può crittografare i file con i normali privilegi utente