Драйвер Gigabyte используется для отключения антивирусного программного обеспечения в схеме RobbinHood Ransomware

Согласно ведущему ведущему исследованию S Фирма по обеспечению безопасности программного обеспечения, вымогатель под названием «RobbinHood», использует законные, но уязвимые драйверы Gigabyte для заражения компьютерных систем и захвата их.

Атака работает на Windows 7 и более новых операционных системах (ОС). Gigabyte ранее отклонил утверждения о том, что его драйвер был уязвим к уязвимости, которую сейчас использует группа вымогателей, согласно Sophos.

Gigabyte разделяет часть вины за первоначальное устранение уязвимости в 2018 году, когда исследователи безопасности впервые сообщили об этом компании. Публика в конечном итоге оказала достаточное давление на Gigabyte, чтобы признать недостаток.

Однако вместо выпуска патча для исправления уязвимости для своих старых материнских плат компания прекратила поддержку этого драйвера. Это плохое суждение со стороны Гигатебайта теперь позволило злоумышленникам вооружить его необработанный драйвер.

Другая ответственная сторона, сказал Софос, – Verisign. Спустя два года после того, как Gigabyte прекратил выпуск своего драйвера, он по-прежнему «доверяет» ОС Windows и многим антивирусным программам по умолчанию из-за того, что Verisign не может отозвать свой сертификат подписи. Это позволило злоумышленникам воспользоваться доверенным драйвером для установки другого неподписанного драйвера на компьютеры жертв.

После этого злоумышленники будут использовать этот новый драйвер, сначала исправляя ядро Windows в памяти, и уничтожая антивирусные программы и другие решения безопасности конечных точек, которые не позволят вымогателю захватить компьютер.

Единственный в своем роде вымогатель

Исследователи Sophos сказали, что, хотя они уже видели, как другие вымогатели пытались убить антивирусные программы, они никогда не видели ни одного, где вымогатель использует доверенный сторонний драйвер для достижения этого.

Большинство решений безопасности имеют своего рода список «доверенных программ», включенный по умолчанию во всех установках. Это компромисс, который компании безопасности предприняли для того, чтобы покончить с большим количеством ложных срабатываний и избежать того, чтобы слишком много пользователей блокировали программы, потому что они не понимали, что антивирус просил их сделать.

Однако, есть вероятность, что, поскольку другие способы использования ОС Windows закрываются, производители вредоносных программ начнут искать дополнительные способы использования этого списка доверенных программ в свою пользу. Если они могут обмануть антивирусные программы, полагая, что их вредоносные программы являются одной из доверенных программ в этом списке, то позднее они могут получить почти бесплатное управление на компьютере пользователя. Смягчение последствий этой атаки

Смягчение

Как показал нам вымогатель RobbinHood, даже если ваша операционная система полностью исправлена, хакер может использовать другие методы для создания уязвимостей на вашем компьютере.

Sophos рекомендует не полагаться на одну программу для обеспечения вашей безопасности, а также применять другие рекомендации по обеспечению безопасности, такие как использование учетных записей ОС с ограниченными правами доступа по умолчанию, регулярное резервное копирование, использование многофакторной аутентификации.

00
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Добавить комментарий

Перейти к верхней панели