skip to Main Content

Cybercrime, il ransomware RobbinHood ora passa per Gigabyte

Cybercrime, Il Ransomware RobbinHood Ora Passa Per Gigabyte

Sophos: il cybercrime sta distribuendo il ransomware RobbinHood, sfruttando Gigabyte e la vulnerabilità CVE 2018-19320 nel driver

Nuova campagna ransomware del cybercrime, che sfrutta Gigabyte per elidere i controlli di sicurezza. Si tratta del malware RobbinHood. L’hanno scoperta i ricercatori di cyber security di Sophos. Gli attacchi vengono veicolati attraverso un driver del pacchetto software, grazie alla vulnerabilità CVE 2018-19320. Attraverso essa, gli attori malevoli sono in grado di caricare un secondo driver in grado di eludere i processi di sicurezza, aggirando le protezioni. Peraltro, è la prima volta che un codice malevolo di questo tipo distribuisce un driver di terze parti per correggere in memoria il kernel di Windows, caricare il proprio driver dannoso non firmato ed estrarre applicazioni di sicurezza dallo spazio del kernel.

Gli esperti di cyber security: Il malware è in grado di cifrare i file, infiltrandosi correttamente nella memoria del kernel di Windows 7, 8 e 10 tramite un driver e un file STEEL.EXE che viene eseguito sul sistema

Gli esperti di cyber security ricordano che il ransomware RobbinHood è in grado di cifrare i file, infiltrandosi correttamente nella memoria del kernel di Windows 7, 8 e 10 tramite un driver e un file STEEL.EXE che viene eseguito sul sistema. Questo interrompe i processi in esecuzione, elimina i file delle applicazioni di sicurezza e distribuisce ROBNR.EXE, che installa il driver non firmato dannoso RBNL.SYS. Una volta installato questo driver, STEEL.EXE legge il file PLIST.TXT e indica al driver di eliminare qualsiasi applicazione elencata in PLIST.TXT. Successivamente viene rilasciata la consueta “ransom note” del malware. Al suo interno, oltre alla classica richiesta di riscatto (rivolta soprattutto alle aziende), si specifica che se questa non verrà pagata entro quattro giorni, il costo aumenterà di 10.000 dollari ogni 24 ore di ritardo. Perciò, il cybercrime gioca anche sul fattore urgenza delle vittime per limitare i danni.

Back To Top