Noticias

Usan un controlador de Windows para deshabilitar el antivirus e instalar el ransomware RobbinHood

ransomware RobbinHood

La firma de seguridad Sophos ha alertado de un nuevo ataque del conocido y peligroso ransomware RobbinHood. Y es distinto a todo lo que conocíamos, porque por primera vez usa un controlador de Windows vulnerable para atacar las máquinas. Y con éxito.

El ataque es sumamente inteligente, aunque de nuevo, en unas condiciones de seguridad medianamente exigentes, nunca debería haber tenido éxito. Todo parte de un controlador firmado (un driver para Windows certificado por Microsoft), parte de un paquete de software obsoleto publicado por el fabricante taiwanés Gigabyte. El controlador tiene una vulnerabilidad conocida etiquetada como CVE-2018-19320, que fue ampliamente divulgada en diciembre de 2018 junto a una prueba de concepto.

La vulnerabilidad fue rechazada por la compañía (primer error), quien le dijo al investigador que la informó que «sus productos no se veían afectados por las vulnerabilidades reportadas». La compañía se retractó poco después, dejó de usar el controlador vulnerable, pero aún existe, y aparentemente sigue siendo una amenaza.

Verisign, cuyo mecanismo de firma de código se utilizó para firmar digitalmente el controlador, no ha revocado el certificado, por lo que la firma Authenticode sigue siendo válida. (segundo error).

En este escenario de ataque, los delincuentes han utilizado el controlador vulnerable como una cuña para poder cargar un segundo controlador malicioso en Windows. (tercer error y consecuencia de los anteriores). Esta es la primera vez que la industria de la seguridad observa que un ataque por ransomware utiliza un controlador de terceros confiable, firmado (pero vulnerable) para cargar su propio controlador malicioso

El segundo controlador elimina sin mayores dificultades cualquier proceso activo y archivos de protección de los antivirus presentes en el sistema y permite que el ransomware RobbinHood se apodere del equipo a través de un ejecutable llamado «ROBNR.EXE».

Como un Ransomware típico infecta los ordenadores personales, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Como suele ser habitual bajo pago en Bitcoin y con la amenaza de incrementar su coste cada día por valor de 10.000 dólares.

ransomware RobbinHood

A partir de ahí, adiós, porque no hay ningún sistema de seguridad capaz de protegernos ni manera de superar el cifrado que emplea RobbinHood, recordemos, un ransomware muy agresivo que ya tumbó las redes gubernamentales del área metropolitana de Baltimore entro otras «hazañas».

La moraleja de costumbre: detrás de un ataque informático inteligente, siempre hay una cadena de errores de seguridad que lo permiten. Gigabyte no parcheó en su día el driver; los usuarios lo siguen utilizando; Verisign no eliminó la firma digital y Windows admite un controlador vulnerable. Vía | Sophos

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.