Новости Software

Вирус RobbinHood атакует ПК через брешь в драйверах Gigabyte

Несколько дней назад специалисты британской компании Sophos сообщили о проблеме на ПК, где используются драйверы Gigabyte. Как оказалось, в них есть уязвимость, позволяющая отключать антивирусы и брать компьютеры под контроль. Проблема проявляется на Windows 7, Windows 8 и Windows 10.

 techadvisor.co.uk

techadvisor.co.uk

Сначала злоумышленники осуществляют установку легального драйвера Gigabyte GDRV.SYS, через который можно получить доступ к ядру. После этого система проверки подписи драйверов в Windows временно отключается, а затем производится установка драйвера RBNL.SYS, который позволяет остановить антивирусы на локальный машине, «убивает» процессы и удаляет файлы систем безопасности, а также блокируют доступные способы восстановления ОС.

Наконец, после этого запускается вирус-вымогатель RobbinHood. Это вредоносное ПО зашифровывает файлы и выставляет цену в $10 тысяч, причём каждый день «просрочки» увеличивает сумму ещё на $10 тысяч.

По данным экспертов это не единственный случай. Схожие бреши есть в приложения VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), а также ASUS (CVE-2018-18537). Однако активное применение зафиксировано только для драйвера Gigabyte (CVE-2018-19320).

Самое интересное, что уязвимость была обнаружена ещё в 2018 году. Однако в Gigabyte сначала заявили, что бреши не существует, а после публикации эксплойта просто прекратили разработку этого драйвера. В свою очередь, сертификат компании Verisign, которым подписан драйвер, до сих пор не отозван, а само уязвимое ПО можно загрузить и сегодня.

Учитывая, что против уязвимости не помогут ни антивирусы, ни разработчики, специалисты из Sophos рекомендуют ввести многофакторную аутентификацию, использовать сложные пароли, ограничивать права доступа и регулярно делать бэкапы, которые должны храниться на изолированных машинах.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Apple улучшила защиту данных в iMessage и iCloud, а Apple ID теперь можно «закрыть» физическим ключом 7 ч.
VR-боевик Peaky Blinders: The King's Ransom даст почувствовать себя частью сериала «Острые козырьки» — опубликован геймплейный трейлер 9 ч.
Студия-разработчик Disco Elysium вернула украденные мошенниками €4,8 млн, но не всё так просто 10 ч.
Snapchat вдруг оказался среди самых популярных приложений в России 10 ч.
Microsoft скоро лишит браузер Edge поддержки Windows 7, 8 и 8.1 11 ч.
NVIDIA выпустила драйвер GeForce Game Ready 527.56 WHQL с поддержкой DLSS 3 для Portal с трассировкой лучей и The Witcher 3 12 ч.
В Microsoft Teams появилась бесплатная возможность организации сообществ 12 ч.
Количество мошеннических звонков в России через мессенджеры выросло в три раза 13 ч.
«Лаборатория Касперского» запустила сервис для поиска закладок в ПО open source 13 ч.
Объём вредоносов для Linux и Android растёт, но основной мишенью хакеров остаётся Windows 13 ч.
На предприятии Foxconn в Чжэнчжоу по сборке iPhone сняты санитарные ограничения 53 мин.
Телескоп «Джеймс Уэбб» помог учёным узнать больше о происхождении Южной кольцевой туманности 5 ч.
Новая статья: Обзор игрового 4K-монитора MSI Optix MAG281URF: теперь я здесь главный! 6 ч.
Выяснились процессорные планы Intel на 2023 год: Raptor Lake-S Refresh, Sapphire Rapids-WS и особые Sapphire Rapids-SP для рабочих станций 10 ч.
ICL и vStack объявили о партнёрстве 11 ч.
Выручка крупнейших контрактных производителей чипов выросла в третьем квартале, но дальше она будет падать 11 ч.
Foxconn инвестирует в индийскую промышленность ещё $500 млн 12 ч.
SK hynix представила самую быструю серверную память DDR5 MCR DIMM — она на 80 % опережает стандартные модули 12 ч.
ЕС назвал крайний срок по внедрению USB Type-C как стандарта для зарядки электроники — 28 декабря 2024 года 13 ч.
Meta разрешили вернуть VR-гарнитуры Quest в магазины Германии 13 ч.