Drivers con una vulnerabilidad para Windows permite al ramsonware RobbinHood desactivar el antivirus

Roberto Solé 7 febrero, 2020

0 769 1 minuto de lectura

La seguridad informática aumenta en importancia, porque como hemos visto, puede comprometer notablemente a las empresas. Una de las mayores amenazas son los ransomware, un malware que ha causado importantes estragos. Ahora ha aparecido el ransomware RobbinHood que utiliza unos drivers defectuosos de Windows. Lo que hace es desactivar completamente el antivirus de Windows y termina bloqueando completamente el sistema.

Estos malware lo que hacen es bloquear el ordenador y cifrar los archivos que hay en el sistema. Los ransomware solicitan el pago de una cierta cantidad de dinero para recibir la clave para desbloquear los archivos. Hace unos meses vimos una segunda oleada de este malware en empresas que pedía un rescate en criptomonedas.

No se han encontrado productos.

RobbinHood desactiva el antivirus en Windows

Sophos, una importante compañía de ciberseguridad, ha publicado un informe sobre este malware. La compañía destaca que una vulnerabilidad en los drivers de Windows permite desactivar el antivirus y cifrar los archivos del usuario. El driver afectado es de Gigabyte y la vulnerabilidad se ha catalogado como CVE-2018-19320. La compañía ya ha lanzado una actualización de controladores, pero no todos los usuarios los habrían actualizado.

VeriSign, compañía que firma digitalmente el controlador, no ha suprimido la certificación del driver. Esto implica que el controlador defectuoso se sigue considerando legítimo. Los atacantes utilizan este controlador firmado de manera digital para colar en Windows un segundo controlador sin firma. Este segundo controlador desactiva el antivirus y cifra todos los archivos.

Ransomware RobbinHood desactiva el antivirus en Windows

La compañía Sophos indica que es el primer caso de driver firmado que se usa para inyectar un malware en Windows. Dicho ransomware ha sido bautizado como RobbinHood. Destacar que buscar desactivar el antivirus para actuar con libertad no es una novedad para este tipo de malware.

Destacar que los archivos necesarios para el ataque en C:\windows\temp son: STEEL.EXE, ROBNR.EXE, GDRV.SYS, RBNL.SYS y PLIST.TXT. Sophos ha recomendado, siempre que sea posible, autenticar en dos pasos siempre que sea posible. También se recomienda usar contraseñas seguras, limitar los permisos, hacer copias de seguridad de manera regular y activar la protección contra alteraciones de Windows 10.