Robinhood Ransomware está explorando los productos Gigabyte y Verisign para deshabilitar las banderas

Un grupo de ransomware que implementa el infame malware llamado Robinhood, ahora ha encontrado una nueva forma de sortear el software antivirus. El uso de controladores vulnerables en los sistemas para deshabilitar el software de señalización en curso e instalar de forma segura su malware de robo de datos es la nueva operación que están siguiendo.

Aviso de rescate a la víctima. Fuente: Sophos

Sophos, una empresa de ciberseguridad con sede en el Reino Unido, detalló este nuevo método utilizado por el grupo Robinhood recientemente. Después de estudiar en detalle, la explicación resultó en dos partes responsables de este truco:

Partes vulnerables

Controladores Gigabyte: El paquete de software elaborado por el fabricante taiwanés de placas base Gigabyte, tiene una vulnerabilidad crítica en caso de que sus controladores sean completamente ignorados. Cuando los investigadores de seguridad informaron de la disponibilidad del error en sus controladores, Gigabyte se negó a aceptar el problema y lo ignoró.

Gigabyte ransomware
Imagen de Pexels

Y cuando un investigador explotó con éxito el error y publicó su exploit de prueba de código, los atacantes lo utilizaron para comprenderlo y utilizarlo en sus propios ataques. Esto llevó al público a presionar a la compañía para que lo arreglara de inmediato, pero Gigabyte eliminó el controlador en lugar de protegerlo con un parche.
Aún así, las versiones anteriores si este controlador podría explotarse.

Otra parte a la que se debe culpar es la Verisign, un mecanismo de firma digital que verifica los controladores. El sistema de autenticación de Verisign no pudo detectar el certificado del conductor vulnerable, lo que llevó a los oponentes a aprovechar y aprobar. El grupo del atacante hizo su operación exitosa de la siguiente manera:

Metodología

Primero, de alguna manera logran establecerse en un sistema vulnerable e instalan el controlador Gigabyte legítimo, pero vulnerable. (GDRV.SYS), que no sería marcado por ningún software antivirus.

Ahora aprovechan la vulnerabilidad existente para acceder al kernel y deshabilitar la aplicación de firma del controlador del sistema operativo Windows. Esto les permite instalar un controlador de kernel malicioso llamado RBNL.SYS. Finalmente, este controlador malicioso les permite deshabilitar todos los productos antivirus y luego instalar el malware Robinhood. Y luego, el procedimiento general de encontrar y cifrar los archivos para luego exigir el rescate de la víctima es común.

Fuente – ZDNet