Эксперты из британской компании Sophos рассказали об интересной тактике, которую применяют операторы шифровальщика RobbinHood. Чтобы отключить защитные решения, малварь устанавливает на целевые машины уязвимые драйверы Gigabyte. По словам специалистов, такие атаки работают против Windows 7, Windows 8 и Windows 10.
В своем отчете исследователи описывают тактику вымогателей следующим образом:
Кроме того, компания Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвала сертификат , поэтому подпись Authenticode по-прежнему остается действительной. Из-за этого до сих пор возможно загрузить устаревший и заведомо уязвимый драйвер в Windows.
В своем отчете исследователи описывают тактику вымогателей следующим образом:
- хакеры проникают в сеть компании-жертвы;
- устанавливают легитимный драйвер ядра Gigabyte GDRV.SYS;
- используют уязвимость в этом драйвере для получения доступа к ядру;
- доступ к ядру используется для временного отключения принудительного использования подписи драйверов в Windows;
- устанавливается вредоносный драйвер ядра RBNL.SYS, который используется для отключения или остановки антивирусных и прочих защитных продуктов, работающих на зараженном хосте;
- запускается вымогатель RobbinHood и шифрует файлы жертвы.
Кроме того, компания Verisign, чей механизм подписи кода использовался для цифровой подписи драйвера, не отозвала сертификат , поэтому подпись Authenticode по-прежнему остается действительной. Из-за этого до сих пор возможно загрузить устаревший и заведомо уязвимый драйвер в Windows.