Sebuah Geng ransomware menggunakan driver GIGABYTE yang rentan pada komputer yang ingin diinfeksi. Tujuannya adalah untuk memungkinkan peretas untuk menonaktifkan produk keamanan sehingga ransomware mereka dapat mengenkripsi file tanpa terdeteksi atau dihentikan.
Menurut Perusahaan keamanan siber Sophos, sejauh ini teknik baru tersebut telah terlihat dalam dua kasus ransomware, dan kedua kasus tersebut memiliki jenis ransomware yang sama yaitu ransomware RobbinHood.
Pada sebuah laporan, mereka menyebutkan bahwa:
- Geng Ransomware mendapat pijakan di jaringan korban.
- Peretas memasang driver kernel GDRV.SYS Gigabyte yang sah
- Peretas mengeksploitasi kerentanan pada driver tersebut untuk mendapatkan akses kernel.
- Penyerang menggunakan akses kernel untuk menonaktifkan sementara Windows OS driver signature enforcement.
- Peretas memasang driver kernel jahat bernama RBNL.SYS.
- Penyerang menggunakan driver ini untuk menonaktifkan atau menghentikan antivirus dan produk keamanan lainnya yang berjalan pada host yang terinfeksi.
- Peretas menjalankan ransomware RobbinHood dan mengenkripsi file korban.
Ketika tekanan publik diberikan pada perusahaan untuk memperbaiki driver tersebut, Gigabyte malah memilih untuk menghentikannya daripada merilis patch.
RobinHood bukan satu-satunya geng ransomware yang menggunakan berbagai trik untuk menonaktifkan produk keamanan. Ransomware lain yang terlibat dalam perilaku serupa adalah Snatch (yang me-reboot PC dalam Safe Mode untuk menonaktifkan perangkat lunak AV) dan Nemty (yang mematikan proses antivirus menggunakan utilitas taskkill).
Klik link dibawah untuk membaca berita selengkapnya
Source: ZDNet
