Вірус RobbinHood атакує ПК через пролом в драйверах Gigabyte

Кілька днів тому фахівці британської компанії Sophos повідомили про проблему на ПК, де використовуються драйвери Gigabyte. Як виявилося, в них є вразливість, що дозволяє відключати антивіруси і брати комп’ютери під контроль. Проблема проявляється на Windows 7, Windows 8 і Windows 10.

Спочатку зловмисники здійснюють установку легального драйвера Gigabyte GDRV.SYS, через який можна отримати доступ до ядра. Після цього система перевірки підпису драйверів в Windows тимчасово відключається, а потім проводиться установка драйвера RBNL.SYS, який дозволяє зупинити антивіруси на локальний машині, “вбиває” процеси і видаляє файли систем безпеки, а також блокуэ доступні способи відновлення ОС.

Нарешті, після цього запускається вірус-вимагач RobbinHood. Це шкідливе ПЗ зашифровує файли і виставляє ціну в $10 тисяч, причому кожен день “прострочення” збільшує суму ще на $10 тисяч.

За даними експертів це не єдиний випадок. Схожі проломи є в додатках VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), а також ASUS (CVE-2018-18537). Однак активне застосування зафіксовано тільки для драйвера Gigabyte (CVE-2018-19320).

Найцікавіше, що вразливість була виявлена ще в 2018 році. Однак в Gigabyte спочатку заявили, що пролому не існує, а після публікації експлойта просто припинили розробку цього драйвера. У свою чергу, сертифікат компанії Verisign, яким підписаний драйвер, досі не відкликаний, а саме вразливе ПЗ можна завантажити і сьогодні.

Враховуючи, що проти уразливості не допоможуть ні антивіруси, ні розробники, фахівці з Sophos рекомендують ввести багатофакторну аутентифікацію, використовувати складні паролі, обмежувати права доступу і регулярно робити бекапи, які повинні зберігатися на ізольованих машинах.