Ransomware instala drivers maliciosos de gigabyte para desativar o antivírus

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Outra onda de ataques de ransomware estão direcionando sistemas com uma nova estratégia. Como foi descoberta pelos pesquisadores, a nova campanha de ransomware instala drivers maliciosos da Gigabyte nos dispositivos de destino para evitar mecanismos de defesa.

Campanha de ransomware usa drivers maliciosos de gigabyte

Pesquisadores do Sophos Labs divulgaram uma campanha ativa de ransomware que explora os drivers da Gigabyte. Conforme compartilhado em seu relatório, o novo ataque de ransomware evita as verificações de segurança instalando drivers maliciosos da Gigabyte nos sistemas de destino.

Os pesquisadores investigaram dois incidentes diferentes de ransomware envolvendo o Robinhood ransomware. Nos dois casos, os atacantes também instalaram drivers assinados nos sistemas para desativar a solução antivírus ou qualquer outro programa de segurança.

A escavação revelou ainda que os invasores exploraram uma vulnerabilidade conhecida CVE-2018-19320 nos drivers da Gigabyte. Embora os fornecedores tenham retirado os drivers vulneráveis, eles ainda existem. Além disso, os drivers ainda possuem assinaturas digitais da Verisign que não revogaram os certificados. Assim, os atacantes continuam explorando os drivers para realizar ataques de ransomware em alvos de alto perfil.

Como afirmado pelos pesquisadores,

Nesse cenário de ataque, os criminosos usaram o driver Gigabyte como uma cunha para que pudessem carregar um segundo driver não assinado no Windows. Esse segundo driver faz todo o possível para eliminar processos e arquivos pertencentes a produtos de segurança de terminal, ignorando a proteção contra adulteração, para permitir que o ransomware ataque sem interferência.

O malware coloca vários arquivos na pasta ‘temp’ do sistema de destino, que depois executa atividades maliciosas. A tabela abaixo mostra rapidamente esses arquivos.

Leia Também  Anunciando a Agenda Security @ San Francisco 2019
cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br
Fonte: Sophos

Mais detalhes sobre o cenário de ataque estão disponíveis na postagem dos pesquisadores.

Possíveis atenuações

Antes, ter uma solução antimalware robusta era considerado suficiente para proteger contra um ataque de malware / ransomware. No entanto, agora, quando cada vez mais ransomware estão adotando táticas diferentes para evitar verificações de segurança, um antivírus não é mais uma solução confiável. O mesmo se aplica aos ataques de Robinhood ransomware também.

Portanto, a Sophos recomenda o emprego de várias medidas para garantir a segurança. Isso inclui o uso de autenticação multifator, ter senhas complexas, restringir o acesso de usuários a sistemas / redes críticos, manter backups atualizados e limitar o RDP.

Os usuários também devem garantir a ativação do recurso Proteção contra adulteração de sua respectiva solução de segurança para impedir que qualquer malware desative a segurança do terminal.

Deixe-nos saber seus pensamentos nos comentários.

https://halderramos.com.br/beneficios-de-um-estilo-de-vida-saudavel/
https://marciovivalld.com.br/artistas-femininos-nomeados-para-grammy-deste-ano/
https://cscdesign.com.br/keto-blinis-com-salmao-defumado/
https://draincleaningdenverco.com/devo-desistir-de-meus-sonhos/
https://clipstudio.com.br/como-ter-um-casamento-de-sucesso/
https://teleingressos.com.br/estado-grande-grandes-oportunidades-12-maneiras-flexiveis-de-ganhar-dinheiro-no-texas/

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br