Новости Вымогатель RobbinHood устанавливает на компьютеры жертв уязвимые драйверы Gigabyte

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
30
Арбитражи
1
Эксперты из британской компании Sophos рассказали об интересной тактике, которую применяют операторы шифровальщика RobbinHood. Чтобы отключить защитные решения, малварь устанавливает на целевые машины уязвимые драйверы Gigabyte. По словам специалистов, такие атаки работают против Windows 7, Windows 8 и Windows 10.

В своем отчете исследователи описывают тактику вымогателей следующим образом:

RobbinHood-384x220.jpg


  • хакеры проникают в сеть компании-жертвы;
  • устанавливают легитимный драйвер ядра Gigabyte GDRV.SYS;
  • используют уязвимость в этом драйвере для получения доступа к ядру;
  • доступ к ядру используется для временного отключения принудительного использования подписи драйверов в Windows;
  • устанавливается вредоносный драйвер ядра RBNL.SYS, который используется для отключения или остановки антивирусных и прочих защитных продуктов, работающих на зараженном хосте;
  • запускается вымогатель RobbinHood и шифрует файлы жертвы.
Исследователи объясняют, что винить в том, что подобная тактика вообще работает и приносит плоды, нужно компании Gigabyte и Verisign. Дело в том, что, узнав о баге, разработчики Gigabyte вообще отказались признавать проблему и заявили, что их продукция уязвимости не подвержена. В итоге специалисты, обнаружившие баг, опубликовали технические подробности о проблеме, наряду с PoC-эксплоитом для ее эксплуатации. Увы, даже после этого инженеры Gigabyte предпочти не исправить уязвимость, выпустив патч, а вообще прекратить поддержку и разработку проблемного драйвера.

Кроме того, компания Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвала сертификат , поэтому подпись Authenticode по-прежнему остается действительной. Из-за этого до сих пор возможно загрузить устаревший и заведомо уязвимый драйвер в Windows.
 
Сверху Снизу