Le rançongiciel RobbinHood déploie une nouvelle technique pour s’assurer qu’il peut crypter des fichiers sans être interrompu.
Un gang de rançongiciels installe des pilotes GIGABYTE vulnérables sur les ordinateurs qu’il souhaite infecter. Le but de ces pilotes est de permettre aux pirates de désactiver les produits de sécurité afin que leur souche de ransomware puisse crypter les fichiers sans être détectée ou arrêtée.
Cette nouvelle technique novatrice a été repérée jusqu’à présent dans deux incidents de rançongiciels, selon la firme britannique de cybersécurité Sophos.
Dans les deux cas, le ransomware était RobbinHood ,une souche de ransomware «de gros gibier» qui est généralement utilisée dans des attaques ciblées contre des cibles sélectionnées de grande valeur.
Dans un rapport publié tard hier soir, Sophos a décrit cette nouvelle technique comme suit:
- Un gang de rançongiciels le réseau d’une victime.
- Les pirates installent le pilote légitime du noyau Gigabyte GDRV.SYS.
- Les pirates exploitent une vulnérabilité de ce pilote légitime pour accéder au noyau.
- Les attaquants utilisent l’accès au noyau pour désactiver temporairement l’application de la signature du pilote du système d’exploitation Windows.
- Les pirates installent un pilote de noyau malveillant nommé RBNL.SYS.
- Les attaquants utilisent ce pilote pour désactiver ou arrêter l’antivirus et d’autres produits de sécurité en cours d’exécution sur un hôte infecté.
- Les pirates exécutent le rançongiciel RobbinHood et chiffrent les fichiers de la victime.
Par Sophos, cette technique de contournement antivirus fonctionne sur Windows 7, Windows 8 et Windows 10.
Cette technique est possible en raison de la façon dont la vulnérabilité dans le pilote Gigabyte a été gérée, laissant une faille que les pirates peuvent exploiter.
Pour cette débâcle, deux parties sont en faute – d’abord Gigabyte, puis Verisign.
La faute de Gigabyte réside dans sa manière non professionnelle de traiter le rapport de vulnérabilité du pilote concerné. Au lieu de reconnaître le problème et de publier un correctif, Gigabyte a affirmé que ses produits n’étaient pas affectés.
Le refus catégorique de la société de reconnaître la vulnérabilité a conduit les chercheurs qui ont trouvé le bogue à publier des détails publics sur ce bogue, ainsi qu’un code de preuve de concept pour reproduire la vulnérabilité. Ce code public de preuve de concept a donné aux attaquants une feuille de route pour exploiter le pilote Gigabyte.
Lorsque la pression publique a été exercée sur l’entreprise pour réparer le pilote, Gigabyte a plutôt choisi de l’interrompre, plutôt que de publier un correctif.
Mais même si Gigabyte avait publié un correctif, les attaquants auraient pu simplement utiliser une version plus ancienne et toujours vulnérable du pilote. Dans ce cas, le certificat de signature du pilote aurait dû être révoqué, il ne serait donc pas possible de charger les anciennes versions du pilote.
« Verisign, dont le mécanisme de signature de code a été utilisé pour signer numériquement le pilote, n’a pas révoqué le certificat de signature, de sorte que la signature Authenticode reste valide », ont expliqué les chercheurs de Sophos, expliquant pourquoi il était encore possible aujourd’hui de charger un document désormais obsolète et connu- pilote vulnérable à l’intérieur de Windows.
Mais si nous avons appris quelque chose sur les cybercriminels, c’est que la plupart d’entre eux sont des copieurs et que d’autres gangs de ransomwares devraient également intégrer cette astuce dans leurs arsenaux, ce qui conduit à plus d’attaques utilisant cette technique.
RobbinHood n’est pas le seul gang de rançongiciels à utiliser diverses astuces pour désactiver ou contourner les produits de sécurité. D’autres souches qui adoptent un comportement similaire incluent Snatch (qui redémarre les PC en mode sans échec pour désactiver le démarrage du logiciel AV) et Nemty (qui arrête le processus antivirus à l’aide de l’utilitaire taskkill).
