Ransomware intitulado RobbinHood utiliza drivers da Gigabyte para infectar o PC

Hackers estão usando indevidamente uma versão nunca corrigida de um driver Gigabyte para desativar a proteção antivírus em um sistema para executar um ransomware intitulada RobbinHood. A descoberta foi feita pela empresa de segurança Sophos.

Ransomware é o malware que cobra um certo valor (na esmagadora maioria dos casos em Bitcoins) para que dados ou acesso sejam restabelecidos. Uma espécie de sequestro digital, onde você é ao mesmo tempo vítima e negociador de um terrorista bits, que o coloca em cheque com o seguinte ultimato: seu dinheiro em troca da integridade dos seus arquivos e dispositivos.

De acordo com a empresa de segurança, os cibercriminosos os autores do vírus usam o driver legal da placa-mãe Gigabyte assinado digitalmente, que contém a vulnerabilidade CVE-2018-19320. Os hackers manipulam a nova vulnerabilidade (CVE-2018-19320)para obter acesso ao kernel. A partir daí, eles instruem o Windows a parar temporariamente a verificação de assinaturas de driver. Isso dá a eles liberdade para instalar seu próprio driver de kernel não autorizado, que eles usam para desativar a proteção antivírus existente. Dessa forma, eles finalmente alcançam o objetivo final: executar o malware.

O problema foi mencionado pela primeira vez em 2018, mas  mas inicialmente a Gigabyte negou todos os problemas e disse que “os produtos da empresa não estavam sujeitos às vulnerabilidades descritas”. Gigabyte ainda não resolveu o problema. Em vez disso, o driver foi colocado inativo, A Verisign, responsável pelo código de autenticidade do código do driver antigo, também não fez nada. Isso significa que o certificado para o driver antigo, que não é mais suportado e vulnerável, ainda existe. Assim, os hackers tinham todas as ferramentas para instalar o driver vazado como um software legítimo.

“É a primeira vez que observamos ransomware que usa um driver vulnerável, assinado pela Microsoft, para sobrescrever o kernel do Windows diretamente na memória, carregar seu próprio driver não assinado e remover aplicativos de segurança do kernel”. , diz Michael Veit, especialista em segurança de TI da Sophos.

A Sophos recomenda que os administradores limitem quem tem acesso ao superusuário, apliquem proteções de segurança em camadas para minimizar a propagação de malware e seus efeitos prejudiciais, além de impir as melhores práticas com senhas e autenticação multifatorial

Postado por
Editor-chefe no Hardware.com.br. Aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Siga em:
Compartilhe
Deixe seu comentário
Veja também
Publicações Relacionadas
Localize algo no site!