Een nieuwe ransomware maakt gebruik van een kwetsbare Gigabyte-driver die nog steeds digitaal ondertekend is en daarom makkelijk geïnstalleerd kan worden. De malware installeert daarna een tweede driver die securitysoftware uitschakelt, waarna de versleuteling begint.

Het gaat om een driver waarvan de privilege escalation-kwetsbaarheid in 2018 al aan het licht kwam, maar die desalniettemin volgens securitybedrijf Sophos nog steeds digitaal ondertekend is door Versign. Waarom deze kwetsbare driver, die bovendien niet meer gebruikt wordt, dan nog digitaal ondertekend is, is niet duidelijk.

De malware installeert de kwetsbare Gigabyte-driver zonder mitsen of maren dank zij de certificering, die aangepaste driver schakelt Windows driver signature verification uit, om vrij baan te maken voor een tweede driver, die als doel heeft om te zoeken naar aanwezige securitysoftware en deze uit te schakelen. daarna volgt de daadwerkelijke ransomware-aanval.

De ransomware, genaamd RobbinHood, versleutelt naar eigen zeggen de bestanden van het slachtoffer met een rsa-4096-cypher. Er wordt om een onbekend bedrag gevraagd en gesteld dat dit bedrag na vier dagen iedere dag met 10.000 dollar verhoogd wordt.

Het is volgens Sophos de eerste keer dat ze meemaken dat een 'legitieme' driver op deze manier misbruikt wordt om vanuit kernel space het systeem aan te vallen. De aanval zou werken op Windows 7, 8 en 10.