Robbinhood, noto ransomware utilizzato per criptare file e gettare nel panico le amministrazioni cittadine in giro per il mondo, ha acquisito una nuova, pericolosa abilità che ne aumenta ulteriormente la capacità di far danni. Ora questa genìa di malware è in grado di sfruttare un driver vulnerabile di Gigabyte per contrastare con efficacia l’azione di antivirus e software antimalware installati sul PC.
Come spiegato dagli analisti di Sophos, la versione “aumentata” del ransomware Robbinhood è stata identificata in due incidenti differenti ed è capace di sfruttare un driver hardware con firma digitale valida per compromettere la sicurezza della memoria kernel del sistema Windows bersaglio.
Prima di sguinzagliare il malware, i cyber-criminali devono in realtà acquisire un accesso all’interno del network da compromettere; una volta superato questo scoglio si passa all’installazione di GDRV.SYS, un driver legittimo per hardware Gigabyte che include una gravissima vulnerabilità mai corretta dal produttore taiwanese.
Tramite la vulnerabilità presente nel driver GDRV.SYS, i cracker riescono ad accedere al kernel di Windows disabilitando temporaneamente l’obbligo di verifica della firma digitale; a questo punto viene installato il driver kernel RBNL.SYS, utile a disabilitare o bloccare i processi degli antivirus e quindi a garantire al malware RobbinHood totale libertà di azione della cifratura di file e documenti delle vittime.
La nuova tecnica impiegata da RobbinHood è piuttosto elaborata, ma la colpa principale della sua efficacia è duplice e coinvolge sia Gigabyte che Verisign: la prima azienda non ha mai corretto la falla nel suo driver, mentre la seconda non ha mai revocato il certificato usato per firmare digitalmente il file. Di certo, considerata la vocazione emulativa nell’ambito del cyber-crimine, l’uso del driver Gigabyte fallato dovrebbe presto entrare a far parte della dotazione standard di diverse altre famiglie di ransomware evoluti.