Новости Software

Вирус RobbinHood атакует ПК через брешь в драйверах Gigabyte

Несколько дней назад специалисты британской компании Sophos сообщили о проблеме на ПК, где используются драйверы Gigabyte. Как оказалось, в них есть уязвимость, позволяющая отключать антивирусы и брать компьютеры под контроль. Проблема проявляется на Windows 7, Windows 8 и Windows 10.

techadvisor.co.uk

techadvisor.co.uk

Сначала злоумышленники осуществляют установку легального драйвера Gigabyte GDRV.SYS, через который можно получить доступ к ядру. После этого система проверки подписи драйверов в Windows временно отключается, а затем производится установка драйвера RBNL.SYS, который позволяет остановить антивирусы на локальный машине, «убивает» процессы и удаляет файлы систем безопасности, а также блокируют доступные способы восстановления ОС.

Наконец, после этого запускается вирус-вымогатель RobbinHood. Это вредоносное ПО зашифровывает файлы и выставляет цену в $10 тысяч, причём каждый день «просрочки» увеличивает сумму ещё на $10 тысяч.

По данным экспертов это не единственный случай. Схожие бреши есть в приложения VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), а также ASUS (CVE-2018-18537). Однако активное применение зафиксировано только для драйвера Gigabyte (CVE-2018-19320).

Самое интересное, что уязвимость была обнаружена ещё в 2018 году. Однако в Gigabyte сначала заявили, что бреши не существует, а после публикации эксплойта просто прекратили разработку этого драйвера. В свою очередь, сертификат компании Verisign, которым подписан драйвер, до сих пор не отозван, а само уязвимое ПО можно загрузить и сегодня.

Учитывая, что против уязвимости не помогут ни антивирусы, ни разработчики, специалисты из Sophos рекомендуют ввести многофакторную аутентификацию, использовать сложные пароли, ограничивать права доступа и регулярно делать бэкапы, которые должны храниться на изолированных машинах.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Компания Ларри Пейджа по разработке летающих автомобилей купила бывшего конкурента производителя дронов DJI 3 ч.
Из-за проблем с обеспечением электроэнергией будущее 30 ирландских дата-центров оказалось под вопросом 6 ч.
Компания LG представила обновлённый логотип 6 ч.
Разработчик из США показал готовый к лётным испытаниям двухместный прототип автономного аэротакси 6 ч.
Все на Венеру! Европейцы тоже утвердили проект отправки венерианского зонда 8 ч.
Мексиканские поставщики автозапчастей убеждены, что к декабрю дефицит чипов будет устранён 14 ч.
TSMC собирается построить предприятия по упаковке трёхмерных чипов в США и на Тайване 15 ч.
Следующий iPad mini получит тонкие рамки, порт USB-C и дактилоскопический сенсор в кнопке питания 16 ч.
Серверные процессоры Intel Xeon Sapphire Rapids будут оснащены HBM-памятью 21 ч.
США представили пять законопроектов, которые серьёзно ограничат влияние технологических компаний 22 ч.