Công ty phần mềm bảo mật Sophos cảnh báo về một loại ransomware mới tấn công vào các driver thuộc hãng Gigabyte (một hãng phần cứng khá nổi tiếng) để dễ dàng tấn công xâm nhập vào hệ thống Windows và sau đó vô hiệu hoá các ứng dụng bảo mật trong máy.
Cuộc tấn công dựa trên lỗ hổng được tìm thấy vào năm 2018 trong driver Gigabyte có mã chi tiết là CVE-2018-19320. Driver này đã bị Gigabyte ngừng hỗ trợ, cho phép các tác nhân độc hại có thể khai thác lỗi và truy xuất được và hệ thống máy tính, triển khai một driver thứ hai với mục đích vô hiệu hoá tất cả trình diệt virus hay bảo mật trên máy.
Các ransomware được sử dụng này được gọi tên là RobbinHood và nó yêu cầu các nạn nhân phải trả tiền chuộc để mở khoá các file. Nếu họ không trả tiền chuộc sớm, số tiền chuộc sẽ được tăng lên 10.000USD mỗi ngày.
Tập tin thực thi này khai thác driver gigabyte trên file gdrv.sys có tên là Steel.exe, và nó sẽ giải nén một file có tên là ROBNR.EXE nằm trong thư mục C:\WINDOWS\TEMP, nó sẽ tiếp tục giải nén hai driver khác nhau, một driver được phát triển bở Gigabyte (driver có dính lỗi bảo mật) và một driver khác có thể vô hiệu hoá các trình antivirus. Do lỗ hổng được khai thác nên driver khai thác lỗi này sẽ không bị kiểm định chữ ký (một giao thức bảo mật của Windows).
Sophos cho biết hiện tại vẫn không có thông tin cụ thể nào giúp bạn có thể tránh các ransomware dạng này. Do đó bạn cần hết sức cẩn thận khi tải các trình driver trên mạng hay các file cài đặt có nguồn gốc không rõ ràng.