Ransomware instala el controlador Gigabyte para eliminar productos antivirus


Gigabyte

Imagen: L O R A

Una pandilla de ransomware está instalando controladores GIGABYTE vulnerables en las computadoras que quiere infectar. El objetivo de estos controladores es permitir que los piratas informáticos deshabiliten los productos de seguridad para que su variedad de ransomware pueda cifrar archivos sin ser detectados o detenidos.

Esta nueva técnica novedosa se ha detectado en dos incidentes de ransomware hasta el momento, según la firma británica de ciberseguridad Sophos.

En ambos casos, el ransomware period RobbinHood (1, 2), una variedad de ransomware de «gran juego» que generalmente se emplea en ataques dirigidos contra objetivos seleccionados de alto valor.

En un informe publicado anoche, Sophos describió esta nueva técnica como sigue:

  1. La pandilla de ransomware se establece en la crimson de una víctima.
  2. Los hackers instalan el controlador de kernel Gigabyte legítimo GDRV.SYS.
  3. Los hackers explotan una vulnerabilidad en este controlador legítimo para obtener acceso al kernel.
  4. Los atacantes usan el acceso al núcleo para deshabilitar temporalmente la aplicación de firma del controlador del sistema operativo Windows.
  5. Los hackers instalan un controlador de kernel malicioso llamado RBNL.SYS.
  6. Los atacantes usan este controlador para deshabilitar o detener el antivirus y otros productos de seguridad que se ejecutan en un host infectado.
  7. Los hackers ejecutan el ransomware RobbinHood y encriptan los archivos de la víctima.

Según Sophos, esta técnica de omisión de antivirus funciona en Windows 7, Windows 8 y Home windows 10.

El controlador Gigabyte parcheando el fiasco

Esta técnica es exitosa debido a la forma en que se manejó la vulnerabilidad en el controlador Gigabyte, dejando un vacío que los hackers pueden explotar.

Para esta debacle, dos partes tienen la culpa: primero Gigabyte y luego Verisign.

La falla de Gigabyte reside en su manera poco profesional en la que se ocupó del informe de vulnerabilidad del controlador afectado. En lugar de reconocer el problema y lanzar un parche, Gigabyte afirmó que sus productos no se vieron afectados.

La negativa absoluta de la compañía a reconocer la vulnerabilidad llevó a los investigadores que encontraron el mistake a publicar detalles públicos sobre este mistake, junto con el código de prueba de concepto para reproducir la vulnerabilidad Este código público de prueba de concepto dio a los atacantes una hoja de ruta para explotar el controlador Gigabyte.

Cuando se presionó públicamente a la compañía para que reparara el controlador, Gigabyte decidió suspenderlo, en lugar de lanzar un parche.

Pero incluso si Gigabyte hubiera lanzado un parche, los atacantes podrían simplemente haber usado una versión anterior y aún susceptible del controlador. En este caso, el certificado de firma del controlador debería haberse revocado, por lo que tampoco sería posible cargar las versiones anteriores del controlador.

«Verisign, cuyo mecanismo de firma de código se usó para firmar digitalmente el controlador, no ha revocado el certificado de firma, por lo que la firma Authenticode sigue siendo válida», dijeron los investigadores de Sophos, explicando por qué todavía period posible cargar un dispositivo ahora obsoleto y conocido. controlador vulnerable dentro de Home windows.

Pero si hemos aprendido algo sobre los ciberdelincuentes es que la mayoría de ellos son imitadores y se espera que otras pandillas de ransomware también incorporen este truco en sus arsenales, lo que lleva a más ataques con esta técnica.

RobbinHood no es la única pandilla de ransomware que está utilizando varios trucos para deshabilitar u omitir productos de seguridad. Otras cepas que participan en un comportamiento similar incluyen Snatch (que reinicia las Pc en modo seguro para deshabilitar el inicio del application AV) y Nemty (que cierra el proceso antivirus con la utilidad taskkill).



Enlace a la noticia unique