Ransomware "RobbinHood" verwendet fehlerhaften Treiber als Einfallstor

Veröffentlicht am: von

gigabyte logo

Üblicherweise nutzt Ransomware eine Lücke im Webbrowser oder im Betriebssystem, um das Zielsystem seines Opfers zu infizieren. Allerdings gibt es immer mal wieder Ausnahmen, bei denen sich Schadsoftware ein eher untypisches "Einfallstor" sucht. So auch im Fall der Ransomware "RobbinHood". Besagter Schädling nutzt als Einstiegspunkt in das System einen Treiber des taiwanischen Herstellers Gigabyte. Grund für die Lücke ist ein Zertifikat, das eigentlich längst von der Zertifizierungsstelle als ungültig deklariert hätte werden müssen. 

Der betroffenen Treiber ist jedoch keineswegs die aktuelle Version. Bei der Software handelt es sich um die Treiber mit der Sicherheitslücke CVE-2018-19320. Dies bedeutet allerdings nicht, dass man vor der Ransomware geschützt ist, sofern man über einen aktuellen Treiber aus dem Hause Gigabyte verfügt. Die Schadsoftware "RobbinHood" installiert die erwähnte Software auf dem infizierten Computer selbstständig nach, um anschließend die Schwachstelle des Treibers auszunutzen.

Zunächst verschafft sich “RobbinHood” Zugriff auf den System-Kernel und deaktiviert die Signaturüberprüfung des Betriebssystems. Im Anschluss daran deaktiviert die Schadsoftware den Virenscanner und beginnt damit die Festplatten zu verschlüsseln, um dann eine Lösegeldforderung für die Entschlüsselung der Daten zu stellen.  

Zudem gilt für alle Nutzer des Gigabyte App Centers bis einschließlich v1.05.21, der Aorus Graphics Engine bis v1.57, der Xtreme Gaming Engine bis v1.26 sowie der OC Guru II v2.08 unbedingt ein entsprechendes Update zu installieren. Solange der Hersteller das entsprechende Zertifikat nicht für ungültig erklärt, bleibt die Ransomware aktiv. Somit ist "RobbinHood" weiterhin in der Lage, den Treiber als Werkzeug zu benutzen um das Zielsystem zu verschlüsseln und im Anschluss den Besitzer bzw. die Besitzerin zu erpressen.