Фирма Sophos работающая в сфере кибербезопасности опубликовала отчет о вирусе-шифровальщике RobbinHood и механизмах заражения целевых систем. Как оказалось, авторы вируса используют легальный драйвер материнских плат Gigabyte с цифровой подписью, содержащий уязвимость CVE-2018-19320.
Она была впервые обнаружена еще в 2018 году, но изначально Gigabyte отрицала все проблемы и сообщила, что «продукты компании не подвержены описанным уязвимостям».
Однако со временем Gigabyte была вынуждена признать проблему. К сожалению, вместо выпуска патча для исправления уязвимости на своих старых материнских платах, компания просто прекратила поддержку этого драйвера.
Более того, уязвимый драйвер до сих пор подписан цифровым сертификатом Verisign, поэтому операционные системы Windows и антивирусные программы по прежнему доверяют ему как надежному источнику.
Используя этот драйвер злоумышленники получают доступ к ядру Windows, загружают свой собственный неподписанный вредоносный драйвер и удаляют процессы и файлы приложений безопасности, а также блокируют доступные способы восстановления системы.
Специалисты Sophos рекомендуют не полагаться на одну программу обеспечения безопасности, а применять несколько методов одновременно, таких как использование учетных записей ОС с ограниченными правами доступа по умолчанию, регулярное резервное копирование, многофакторная аутентификация, сложные пароли и так далее.