De acordo com um artigo publicado pela empresa de segurança informática Sophos, um ransomware chamado ‘RobinHood’ tem utilizado um driver para motherboards Gigabyte para infectar computadores e tomar conta deles.
Este ataque funciona em computadores com sistemas operativos Windows 7 e posteriores e, segundo a Sophos, a Gigabyte não deu importância aos avisos para a existência desta falha de segurança que agora está a ser explorada neste ataque.
Em 2018 a Gigabyte foi avisada por especialistas em segurança, mas não tomou logo medidas para reduzir ou resolver o risco nessa altura. Apenas quando o público começou a fazer pressão sobre a empresa é que esta reconheceu a sua existência.
Contudo, em vez de lançar uma actualização para resolver a vulnerabilidade nos modelos de motherboards mais antigos, a Gigabyte simplesmente deixou de dar suporte ao driver. É por esta razão que o driver é usado agora em ataques.
Segundo a Sophos, a Gigabyte não está sozinha nas culpas por esta situação, a Verisign também as tem. Dois anos depois da Gigabyte ter descontinuado o driver, este continuou a ser considerado seguro pelo Windows e por muitos programas antivírus por defeito porque a Verisign não revogou o seu certificado de segurança. Isto permitiu aos atacantes tirar partido do driver certificado para instalar outro, não certificado, nas máquinas atacadas.
Este segundo driver foi usado para alterar o kernel do Windows que está na memória e fazer parar os programas antivírus e outras soluções de segurança capazes de impedir o ransomware de tomar conta dos computadores infectados.
Segundo a Sophos, a ideia de malware tentar eliminar software antivírus não é nova, mas nunca tinham visto nenhum a usar drivers para o conseguir.
Muitas soluções de segurança têm uma lista interna de programas em que podem “confiar” em todos os tipos de instalações. Na prática isto é um compromisso que as empresas de segurança fazem de forma a evitar grandes números de resultados falsos positivos e também evitar que muitos utilizadores bloqueiem programas porque não percebem o que o software antivírus lhes está a pedir para fazer.
Para reduzir os riscos deste ransomware, a Sophos aconselha os utilizadores a não confiarem apenas numa única solução de segurança, adoptar as melhores práticas de segurança, como usar contas com direitos de acesso limitados por defeito, fazer cópias de segurança regulares e utiliza sistemas de autenticação de vários factores.