Вредонос RobbinHood борется с антивирусами с помощью драйвера Gigabyte

Вредонос RobbinHood борется с антивирусами с помощью драйвера Gigabyte

Распространяющие шифровальщик RobbinHood киберпреступники эксплуатируют уязвимость в драйвере Gigabyte для установки своего вредоносного неподписанного драйвера, предназначенного для отключения антивирусных продуктов.

Таким образом, перед началом шифрования злоумышленники пытаются деактивировать все установленные на рабочих станциях защитные решения.

В обычных условиях процессы защитных механизмов в системах Windows можно завершить только с помощью драйверов уровня ядра. Чтобы уберечь пользователей от таких атак, Microsoft внедрила механизм проверки подписи — только подписанные корпорацией драйверы можно установить в систему.

Теперь же исследователи из компании Sophos описали новую технологию, используемую киберпреступниками для распространения вымогателя RobbinHood.

Первым делом атакующие инсталлируют в систему известный уязвимый драйвер Gigabyte (GDRV.SYS), подписанный Microsoft, а затем задействуют брешь в нём для отключения функции проверки подписи драйверов.

Уязвимость отслеживается под идентификатором CVE-2018-19320, она затрагивает ныне устаревший набор программного обеспечения Gigabyte. В описанных Sophos атаках преступники задействовали исполняемый файл Steel.exe.

Список подлежащих завершению антивирусных процессов находится в файле PLIST.TXT, к которому, к сожалению, исследователи не смогли получить доступ.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Компания Garmin получила дешифратор (заплатила вымогателям $10 млн)

Исследователи в области безопасности выяснили, что компания Garmin, недавно пострадавшая от атаки шифровальщика WastedLocker, получила ключ для расшифровки файлов. Есть мнение, что производитель «умных» часов и GPS-навигаторов заплатил за дешифратор.

Ранее сами сотрудники Garmin подтвердили расследующим инцидент специалистам, что операторы WastedLocker потребовали выкуп в размере $10 миллионов.

Судя по всему, компания решила заплатить вымогателям, хотя многие эксперты (например, такую позицию занимает Microsoft и даже ФБР) категорически не рекомендуют давать киберпреступникам деньги, поскольку это подстегнёт их и дальше атаковать организации.

«Чтобы получить ключ для расшифровки, Garmin, скорее всего, заплатила злоумышленникам выкуп. Точно неизвестно, сколько компания перевела вымогателям, но ранее ходила информация о $10 миллионах», — пишут исследователи из BleepingComputer.

Операторы WastedLocker прислали архив, в котором находились установочные файлы некоторого защитного софта, ключ расшифровки, сам декриптор WastedLocker и скрипт для запуска всего этого добра.

 

Специалисты BleepingComputer провели тест, в ходе которого зашифровали виртуальную машину с помощью WastedLocker, а потом попытались расшифровать присланным декриптором. Результаты можно увидеть на ролике ниже:

Официальные представители Garmin пока не прокомментировали ситуацию с дешифратором и выкупом.

Напомним, что в конце июля операторы шифровальщика добились сбоя в работе кол-центров Garmin, из-за чего компания не могла отвечать на звонки, электронные письма и текстовые сообщения в чатах.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru