Ransomware misbruikt Gigabyte-driver om antivirus uit te schakelen

Ze gaan te werk door via een phishingmail of drive-by website toegang te krijgen tot een computer van het slachtoffer, meldt Sophos. Vervolgens wordt een verouderde maar legitieme versie van een Gigabyte-driver geïnstalleerd. Die bevat een zwakheid die al enkele jaren geleden is ontdekt maar waarvan het certificaat nog steeds geldig is.

Vervolgens gebruiken de aanvallers deze kwetsbaarheid om zich toegang te verschaffen tot de kernel van de computer. Zo krijgen ze de mogeljjkheid tijdelijk de WindowsOS driver signature enforcement uit te schakelen. Vervolgens installeren ze de kernel driver RBNL.SYS waarmee ze allerlei antivirusoftware kunnen uitschakelen. Daarna installeren ze de RobbinHood ransomware en versleutelen daarmee alle bestanden die op de computer aanwezig zijn.

PoC gepubliceerd

Zowel Gigabyte als Verisign hebben flinke steken laten vallen die nu de oorzaak zijn dat deze route openligt. Toen de softwarefout halverwege 2018 door onderzoekers van SecureAuth werd ontdekt in de driver heeft Gigabyte lange tijd ontkend dat de producten kwetsbaar waren. Vervolgens hebben de ontdekkers van de fout deze gepubliceerd compleet met een proof-of-concept om de Gigabyte onder druk te zetten met een patch te komen. Dat gebeurde echter niet. Gigabyte besloot gewoon de driver af te schrijven en niet langer te ondersteunen.

Daarnaast heeft Verisign het certificaat van de betreffende driver niet ingetrokken. Als gevolg daarvan kunnen de aanvallers nog altijd de driver installeren omdat het systeem van het slachtoffer deze niet herkent als een verouderde niet meer onderhouden driver. De proof-of-concept van een exploit van de kwestbaarheid in deze driver heeft de aanvallers de weg gewezen naar hun nieuwe taktiek.