Abonner
UTPRESSINGSVARE

Kryptovirus bruker ekte, men sårbar hovedkortdriver til å gå under radaren

Brukt i omfattende angrep.

Skadevaren RobbinHood utnytter en gammel og sårbar driver som ble levert med blant annet hovedkort fra Gigabyte.
Skadevaren RobbinHood utnytter en gammel og sårbar driver som ble levert med blant annet hovedkort fra Gigabyte. Foto: Gigabyte
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
11. feb. 2020 - 20:00

De kriminelle utviklerne av skadevare tar stadig i bruk nye metoder for å sørge for at skadevaren kan trenge gjennom sikkerheten til målsystemene.

«Operation Triangulation» benytter en angrepskjede med svært mange ledd. Den har gitt angriperne full tilgang til operativsystemet i både eldre og helt nye Iphone-mobiler, blant annet ved å omgå avanserte, maskinvarebaserte beskyttelsesmekanismer.
Les også

Superavansert «hack» kan ha gitt angripere full Iphone-tilgang i flere år

Nylig ble det oppdaget at det i to ulike angrep med utpressingsvare har blitt tatt i bruk en legitim og digitalt signert maskinvaredriver for å sette sikkerhetsfunksjonalitet ut av spill, før skadevaren satte i gang hoveddelen av angrepet, nemlig å kryptere filene på systemet. 

Dette skriver IT-sikkerhetsselskapet Sophos.

Kjent sårbarhet

Det dreier seg om en Windows-driver, GDRV.SYS, som var en del av en programvarepakke utgitt av hovedkortprodusenten Gigabyte. Denne driveren har en sårbarhet som skal ha vært kjent siden 2018. Da ble det også offentliggjort kode som demonstrerer hvordan sårbarheten kan utnyttes til å kjøre kode med forhøyde privilegier. 

Varsel på system som er infisert med RobbinHood-utpressingsvaren. <i>Skjermbilde:  Sophos</i>
Varsel på system som er infisert med RobbinHood-utpressingsvaren. Skjermbilde:  Sophos

Ifølge Sophos skal Gigabyte i 2018 først ha nektet for at deres programvare var berørt av sårbarheten. Deretter skal selskapet ha snudd og til slutt sluttet å bruke den sårbare driveren. 

Problemet er at driveren fortsatt eksisterer og er digitalt signert med nøkkel og sertifikat fra Verisign som ikke har blitt trukket tilbake. Dermed kan skadevaren, som kalles for RobbinHood, inkludere driveren og bruke den til å endre kernel-delen av minnet, uten at noen sikkerhetstiltak reagerer. 

Det er ifølge Sophos kun nødvendig å endre én byte i en variabel i «kernel space» for å deaktivere håndhevelsen av driversignaturer i Windows. 

Deaktiverer endepunktsikkerheten

I RobbinHood-tilfellene brukes dette til å laste ytterligere en driver, som ikke er signert. Ifølge Sophos gjør denne driveren en stor innsats for å drepe prosesser og slette filer som hører til sikkerhetsprodukter som er installert på systemet. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Tietoevry
Tok nytt grep - stanset svindelforsøk på 750.000 kr i løpet av to dager

Dersom dette lykkes, kan skadevaren sette i gang krypteringen av filene uten at den blir forstyrret. 

I likhet med de fleste andre slike angrep, er det en forutsetning at en bruker av datamaskinen kan lokkes til å laste ned og kjøre skadevaren. Gitt hvor mange slike angrep som lykkes hvert år, virker det ikke som at dette er noen stor hindring. 

RobbinHood-skadevaren skal i alle fall ha blitt brukt i angrepet som slo ut store deler av de offentlige IT-systemene i byen Baltimore i Maryland, USA, i mai i fjor

Banktrojanere er blant de største truslene på Android-plattformen, sier Malwarebytes.
Les også

Fant nær 90.000 nye trusler mot verdens mest brukte operativsystem

Les mer om:
ENHETSDRIVERGIGABYTEHOVEDKORTROBBINHOODSIKKERHETSOPHOSUTPRESSINGSVARE
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra