Ransomware

Ransomware RobbinHood, driver vulnerabili contro gli antivirus

La nota genia di ransomware RobbinHood ha adottato una nuova tecnica malevola: con i driver vulnerabili di Gigabyte è possibile disabilitare gli antivirus e cifrare i file in tutta comodità.

Robbinhood, noto ransomware utilizzato per criptare file e gettare nel panico le amministrazioni cittadine in giro per il mondo, ha acquisito una nuova, pericolosa abilità che ne aumenta ulteriormente la capacità di far danni. Ora questa genìa di malware è in grado di sfruttare un driver vulnerabile di Gigabyte per contrastare con efficacia l’azione di antivirus e software antimalware installati sul PC.

Come spiegato dagli analisti di Sophos, la versione “aumentata” del ransomware Robbinhood è stata identificata in due incidenti differenti ed è capace di sfruttare un driver hardware con firma digitale valida per compromettere la sicurezza della memoria kernel del sistema Windows bersaglio.

Ransomware RobbinHood

Prima di sguinzagliare il malware, i cyber-criminali devono in realtà acquisire un accesso all’interno del network da compromettere; una volta superato questo scoglio si passa all’installazione di GDRV.SYS, un driver legittimo per hardware Gigabyte che include una gravissima vulnerabilità mai corretta dal produttore taiwanese.

Tramite la vulnerabilità presente nel driver GDRV.SYS, i cracker riescono ad accedere al kernel di Windows disabilitando temporaneamente l’obbligo di verifica della firma digitale; a questo punto viene installato il driver kernel RBNL.SYS, utile a disabilitare o bloccare i processi degli antivirus e quindi a garantire al malware RobbinHood totale libertà di azione della cifratura di file e documenti delle vittime.

La nuova tecnica impiegata da RobbinHood è piuttosto elaborata, ma la colpa principale della sua efficacia è duplice e coinvolge sia Gigabyte che Verisign: la prima azienda non ha mai corretto la falla nel suo driver, mentre la seconda non ha mai revocato il certificato usato per firmare digitalmente il file. Di certo, considerata la vocazione emulativa nell’ambito del cyber-crimine, l’uso del driver Gigabyte fallato dovrebbe presto entrare a far parte della dotazione standard di diverse altre famiglie di ransomware evoluti.

PCProfessionale © riproduzione riservata.
Ha avuto il suo incontro fatale con la tecnologia negli anni '80, prima con i giochi arcade e poi con l'Intellivision di Mattel, e da allora la passione è andata solo aumentando. Quando non passa il proprio tempo a consumare notizie sull'attualità informatica ama leggere (su carta), scrivere, fotografare e collezionare vecchi libri sui sistemi operativi obsoleti.