Cybersecuritybedrijf Sophos heeft onderzocht hoe cybercriminelen gebruik konden maken van een kwetsbaarheid in een driver van Gigabyte zodat ze ransomware konden installeren op de systemen van gebruikers.
De bug heeft het kenmerk CVE-2018-19320 ontvangen. Het probleem is een kerneldriver genaamd gdrv
Hoewel de driver niet meer wordt gebruik is hij nog steeds digitaal goedgekeurd door Versign, waarom dit het geval is, is nog niet bekend. Door dit certificaat kan de driver toch worden geïnstalleerd, waarna Windows driver signature verification uitgeschakeld kan worden. Daardoor kan een tweede driver geïnstalleerd worden, die mogelijk geïnstalleerde beveiligingssoftware uit moet schakelen. Daarna kan de ransomware worden geïnstalleerd.
Deze malafide software is een variant van de ransomware RobbinHood en zou de bestanden van de gebruiker versleutelen met een rsa-4096-versleuteling, waarna er losgeld wordt geëist. Als het onbekende bedrag na vier dagen niet is betaald, wordt het bedrag volgens de ransomware met 10.000 dollar per dag verhoogd. De aanval zou in ieder geval mogelijk zijn op Windows 7, 8 en 10. Het probleem is te vermijden door niet deze specifieke drivers en eerdere versies te installeren. Gigabyte heeft het probleem zelf al (gedeeltelijk) opgelost door in ieder geval nieuwe versies aan te bieden, hoewel de oudere varianten nog te downloaden zijn.
Update, 11-2-2020 - het artikel is aangepast voor extra duidelijkheid over de oorsprong van de drivers.
