Вымогатели используют драйвер Gigabyte для отключения антивируса

Специалисты из компании Sophos предупредили о новых кибератаках с использованием вымогательского ПО RobbinHood. Преступники используют уязвимый драйвер Gigabyte, чтобы взломать систему Windows и отключить работающее антивирусное программное обеспечение.

В ходе атаки злоумышленники эксплуатируют неисправленную уязвимость (CVE-2018-19320), обнаруженную в 2018 году в драйвере Gigabyte. Эксплуатация уязвимости позволяет получить доступ к устройству и установить второй драйвер, с помощью которого преступники отключают антивирусные программы.

Исполняемый файл Steel.exe используется для эксплуатации уязвимости в драйвере gdrv.sys и извлекает файл с именем ROBNR.EXE во временную папку Windows. ROBNR.EXE, в свою очередь, извлекает два разных драйвера — один из которых разработан Gigabyte и содержит уязвимость, а другой необходим для отключения антивирусного программного обеспечения на скомпрометированном устройстве. После эксплуатации уязвимости принудительное использование подписи драйверов Windows отключается, что позволяет запустить вредоносный драйвер.

За доступ к зашифрованным файлам вымогатели требуют от своих жертв выкуп, который увеличивается на $10 тыс. каждый день.