Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вымогатели используют уязвимость в драйверах Gigabyte для отключения антивируса

10/02/20

гигабайтСпециалисты из компании Sophos предупредили о новых кибератаках с использованием вымогательского ПО RobbinHood.

Преступники используют уязвимый драйвер Gigabyte, чтобы взломать систему Windows и отключить работающее антивирусное программное обеспечение.

В ходе атаки злоумышленники эксплуатируют неисправленную уязвимость (CVE-2018-19320), обнаруженную в 2018 году в драйвере Gigabyte. Эксплуатация уязвимости позволяет получить доступ к устройству и установить второй драйвер, с помощью которого преступники отключают антивирусные программы.

Исполняемый файл Steel.exe используется для эксплуатации уязвимости в драйвере gdrv.sys и извлекает файл с именем ROBNR.EXE во временную папку Windows. ROBNR.EXE, в свою очередь, извлекает два разных драйвера — один из которых разработан Gigabyte и содержит уязвимость, а другой необходим для отключения антивирусного программного обеспечения на скомпрометированном устройстве. После эксплуатации уязвимости принудительное использование подписи драйверов Windows отключается, что позволяет запустить вредоносный драйвер.

За доступ к зашифрованным файлам вымогатели требуют от своих жертв выкуп, который увеличивается на $10 тыс. каждый день.

Темы:УгрозыSophosвымогателидрайверы

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

Еще темы...