Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Zdaniem firmy Sophon, która zajmuje się cyberbezpieczeństwem, ransomware o nazwie RobbinHood wykorzystuje lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli. Proceder działać ma na systemach Windows 7 lub nowszych i pomimo faktu, że tajwański producent w przeszłości zaprzeczał twierdzeniom o podatności swojego sterownika na ataki, to jednak zdaniem Sophos grupa hakerów wykorzystuje tego exploita. Gigabyte niewątpliwie ponosi przynajmniej częściową odpowiedzialność za pierwotne zbywanie doniesień o luce w 2018 roku, kiedy to specjaliści ds. bezpieczeństwa informowali o zagrożeniu. Koniec końców, presja opinii publicznej sprawiła, że producent potwierdził istnienie luki, ale zamiast ją załatać w starszych płytach głównych, firma zdecydowała się zakończyć wsparcie dla tego sterownika. Teraz użytkownicy zaś płacą tego cenę, gdyż Gigabyte umożliwił hakerom wykorzystanie tego drivera do przeprowadzenia ataków.   

Ransomware o nazwie RobbinHood wykorzystywał lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli.

Zdaniem Sophos, odpowiedzialna jest także firma Verisign, która zajmuje się przyznawaniem certyfikatów bezpieczeństwa. Dwa lata po tym jak Gigabyte zaprzestał wsparcia dla felernego sterownika, wciąż oznaczony jest on w systemach Windows i wielu programach antywirusowych jako „zaufany”, a to właśnie za sprawą certyfikatu Verisign. Atakujący mogą więc skorzystać z drivera do modyfikacji kernela Windows i wyłączenia programów antywirusowych oraz innych zabezpieczeń przed złośliwym oprogramowaniem, przejmując tym samym kontrolę nad naszą maszyną. Sophos podkreśla także unikalny charakter programu ransomware wykorzystywanego w tym przypadku. Firma twierdzi, że dotychczas nie spotkała się z tego typu oprogramowaniem wykorzystującym zaufany sterownik do przeprowadzenia ataku, mającego na celu uśmiercenie antywirusów.

Większość aplikacji bezpieczeństwa posiada swoistą listę "zaufanych programów” dopuszczanych domyślnie przy wszystkich instalacjach. Jest to kompromis, dzięki któremu unikają one zbyt dużej liczby programów blokowanych przypadkiem przez użytkowników. Niemniej jednak, twórcy złośliwego użytkowania coraz częściej wykorzystują te listy do swoich celów. Jeśli zaś uda im się przekonać antywirusa, że ich malware jest jednym z programów z listy, mogą później praktycznie dowolnie wykorzystać nasz sprzęt. Jak zaś pokazuje przypadek RobbinHood, nawet jeśli nasz OS jest w pełni zaktualizowany i załatany, hakerzy wciąż mogą znaleźć luki na naszym komputerze, które następnie wykorzystują do swoich celów. Tym samym, Sophos podkreśla jak istotne jest poleganie nie tylko na jednym programie antywirusowym czy przestrzeganie pewnych praktyk, takich jak korzystanie domyślnie z konta z ograniczonym dostępem, robienie regularnych kopii bezpieczeństwa czy ustawianie dwustopniowej weryfikacji.