Jump to content

Вымогатели используют драйвер Gigabyte для отключения антивируса

Sign in to follow this  
mr.save

23 views

Специалисты из компании Sophos предупредили о новых кибератаках с использованием вымогательского ПО RobbinHood. Преступники используют уязвимый драйвер Gigabyte, чтобы взломать систему Windows и отключить работающее антивирусное программное обеспечение.

В ходе атаки злоумышленники эксплуатируют неисправленную уязвимость (CVE-2018-19320), обнаруженную в 2018 году в драйвере Gigabyte. Эксплуатация уязвимости позволяет получить доступ к устройству и установить второй драйвер, с помощью которого преступники отключают антивирусные программы.

Исполняемый файл Steel.exe используется для эксплуатации уязвимости в драйвере gdrv.sys и извлекает файл с именем ROBNR.EXE во временную папку Windows. ROBNR.EXE, в свою очередь, извлекает два разных драйвера — один из которых разработан Gigabyte и содержит уязвимость, а другой необходим для отключения антивирусного программного обеспечения на скомпрометированном устройстве. После эксплуатации уязвимости принудительное использование подписи драйверов Windows отключается, что позволяет запустить вредоносный драйвер.

За доступ к зашифрованным файлам вымогатели требуют от своих жертв выкуп, который увеличивается на $10 тыс. каждый день.

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...