Hamano Kaito
Moderator
Theo như công ty bảo mật Sophos cho hay, về cuộc tấn công ransomware mới hiện đang sử dụng trình điều khiển của hãng Gigabyte có lỗ hổng (dễ tấn công), nhằm xâm nhập vào hệ thống Windows và sau đó vô hiệu hóa phần mềm bảo mật đang chạy.
Cuộc tấn công dựa trên lổ hổng bảo mật được tìm thấy vào nằm 2018 trong trình điều khiển của hãng Gigabyte và được nêu chi tiết ở CVE-2018-19320. Trình điều khiển này đã bị hủy bỏ sau khi Gigabyte xác nhận lỗi, cho phép các tác nhân độc hại khai thác lỗ hổng để truy cập vào thiết bị cũng như triển khai trình điều khiển thứ hai với mục đích chính là vô hiệu các chương trình chống Vi Rút
Hãng Sophos giải thích rằng
Những ransomware này được gọi là RobbinHood yêu cầu nạn nhân bị nhiễm phải trả tiền để mở khóa tệp của họ. Nếu họ không trả tiền, thì giá sẽ tăng lên đến 10.000$ mỗi ngày.
Tệp thực thi được sử dụng để khai thác trình điều khiển của hãng Gigabyte là gdrv.sys được gọi là Steel.exe và nó trích xuất một tệp có tên là ROBNR.EXE trong thư mục tạm (TEMP) của Windows, lần lượt trích xuất 2 trình điều khiển khác nhau, một trình điều khiển được phát triển bởi hãng Gigabyte (trình điều khiển có lỗ hỏng) và một phần mềm khác được sử dụng để vô hiệu hóa phần mềm chống Vi rút trên thiết bị đã xâm nhập. Một lổ hổng đã được khai thác, việc thực thi chữ ký cho trình điều khiển Windows sẽ bị vô hiệu hóa, cho phép trình điều khiển độc hại được thực thi (khởi tạo, hoặc chạy).
Hãng Sophos nói rằng không có gì có thể giữ an toàn trong các cuộc tấn công từ ransomware để giúp bạn ngăn chặn bị khai thác cả. Thậm chí ngay khi máy tính không có lổ hổng vẫn có thể bị tấn công (tổn hại)
Hãng Sophos giải thích rằng
- Trình điều khiển thứ hai này đã cố gắng vô hiệu hóa các chương trình bảo mật, giả mạo để bỏ qua lớp bảo vệ, để cho phép phần mềm ransomware tấn công mà không bị can thiệp
- Đây là lần đầu tiên chúng tôi quan sát thấy ransomware chuyển trình điều khiển bên thứ 3 đã có chữ ký từ Microsoft (chưa có lỗ hỏng) để vá nhân (Kernel) trong bộ nhớ, và tải xuống trình điều khiển không có chữ ký của họ sau đó gỡ bỏ các ứng dụng bảo mật từ vùng nhớ của nhân (Kernel)
Những ransomware này được gọi là RobbinHood yêu cầu nạn nhân bị nhiễm phải trả tiền để mở khóa tệp của họ. Nếu họ không trả tiền, thì giá sẽ tăng lên đến 10.000$ mỗi ngày.
Tệp thực thi được sử dụng để khai thác trình điều khiển của hãng Gigabyte là gdrv.sys được gọi là Steel.exe và nó trích xuất một tệp có tên là ROBNR.EXE trong thư mục tạm (TEMP) của Windows, lần lượt trích xuất 2 trình điều khiển khác nhau, một trình điều khiển được phát triển bởi hãng Gigabyte (trình điều khiển có lỗ hỏng) và một phần mềm khác được sử dụng để vô hiệu hóa phần mềm chống Vi rút trên thiết bị đã xâm nhập. Một lổ hổng đã được khai thác, việc thực thi chữ ký cho trình điều khiển Windows sẽ bị vô hiệu hóa, cho phép trình điều khiển độc hại được thực thi (khởi tạo, hoặc chạy).
Hãng Sophos nói rằng không có gì có thể giữ an toàn trong các cuộc tấn công từ ransomware để giúp bạn ngăn chặn bị khai thác cả. Thậm chí ngay khi máy tính không có lổ hổng vẫn có thể bị tấn công (tổn hại)
Sửa lần cuối:
