Вымогатели используют драйвер Gigabyte для отключения антивируса

Discussion in 'Мировые новости. Обсуждения.' started by seostock, 8 Feb 2020.

  1. seostock

    seostock Elder - Старейшина

    Joined:
    2 Jul 2010
    Messages:
    1,957
    Likes Received:
    4,099
    Reputations:
    31
    Специалисты из компании Sophos предупредили о новых кибератаках с использованием вымогательского ПО RobbinHood. Преступники используют уязвимый драйвер Gigabyte, чтобы взломать систему Windows и отключить работающее антивирусное программное обеспечение.

    В ходе атаки злоумышленники эксплуатируют неисправленную уязвимость (CVE-2018-19320), обнаруженную в 2018 году в драйвере Gigabyte. Эксплуатация уязвимости позволяет получить доступ к устройству и установить второй драйвер, с помощью которого преступники отключают антивирусные программы.

    Исполняемый файл Steel.exe используется для эксплуатации уязвимости в драйвере gdrv.sys и извлекает файл с именем ROBNR.EXE во временную папку Windows. ROBNR.EXE, в свою очередь, извлекает два разных драйвера — один из которых разработан Gigabyte и содержит уязвимость, а другой необходим для отключения антивирусного программного обеспечения на скомпрометированном устройстве. После эксплуатации уязвимости принудительное использование подписи драйверов Windows отключается, что позволяет запустить вредоносный драйвер.

    За доступ к зашифрованным файлам вымогатели требуют от своих жертв выкуп, который увеличивается на $10 тыс. каждый день.

    https://www.securitylab.ru/news/504809.php
     
    alexzir and Suicide like this.
Loading...