Nuovi attacchi ransomware in grado di rilasciare driver per eludere i software di sicurezza

14/02/2020

CVE 2018-19320 ransomware robbinhood

Nei giorni scorsi i ricercatori di Sophos hanno scoperto una nuova campagna ransomware che elude i controlli di sicurezza installando driver Gigabyte dannosi sui sistemi di destinazione.

Nel dettaglio, il report evidenzia che gli attacchi sono stati veicolati attraverso un driver del pacchetto software Gigabyte che presenta una vulnerabilità (CVE 2018-19320). Attraverso la vulnerabilità è stato possibile caricare un secondo driver in grado di eludere i processi di sicurezza, aggirando le protezioni. Per la prima volta, un ransomware distribuisce un driver di terze parti per correggere in memoria il kernel di Windows, caricare il proprio driver dannoso non firmato ed estrarre applicazioni di sicurezza dallo spazio del kernel.

I ricercatori hanno inoltre notato che il ransomware veicolato fa parte della tipologia ransomware RobbinHood.

Quest’ultima è in grado di cifrare i file, infiltrandosi correttamente nella memoria del kernel di Windows 7, Windows 8 e Windows 10 tramite un driver e un file STEEL.EXE che viene eseguito sul sistema. L’applicazione STEEL.EXE interrompe i processi in esecuzione, elimina i file delle applicazioni di sicurezza e distribuisce ROBNR.EXE, che installa il driver non firmato dannoso RBNL.SYS. Una volta installato questo driver, STEEL.EXE legge il file PLIST.TXT e indica al driver di eliminare qualsiasi applicazione elencata in PLIST.TXT

Successivamente viene rilasciata la consueta “ransom note”.

Conclusioni

Come di consueto il CERT-PA raccomanda di tenere aggiornati i propri dispositivi e di eseguire alcune semplici azioni quali:

  • Usare autenticazione a più fattori (MFA);
  • Utilizzare password complesse, gestite tramite un gestore di password;
  • Limitare i diritti di accesso; 
  • Effettuare backup regolari.

 

Indicatori di compromissione

  • IoC (.txt) – Domini, URL, Hash
  • Hashr (.txt) – Hash