Agencias / Ciudad de México.- La compañía de ciberseguridad Sophos ha descubierto dos nuevas campañas de ‘ransomware’ en las que, bajo el nombre de ‘Robbin Hood’, los cibercriminales aprovecharon vulnerabilidades presentes en el ‘firmware’ de algunos modelos de placas base para exigir rescates a los usuarios a cambio de recuperar los datos de sus dispositivos.
El ‘hardware’ afectado proviene de un ‘driver’ antiguo utilizado por el fabricante taiwanés de placas Gigabyte, que contiene la vulnerabilidad CVE-2018-19320, descubierta en 2018.
Aunque este ‘firmware’ vulnerable ha dejado de utilizarse en las placas desarrolladas posteriormente por Gigabyte, según defendió el propio fabricante, la vulnerabilidad aún existe y “sigue siendo una amenaza”, como asegura Sophos en un comunicado.
Living off another land: Ransomware brings a vulnerable driver from Gigabyte to destroy security software from the Windows kernel https://t.co/ljwZvCd9U2 pic.twitter.com/snaNh3v98E
— Mark Loman (@markloman) February 6, 2020
A través del fallo de seguridad en el ‘driver’ de las placas de Gigabyte, los atacantes pueden generar otro ‘driver’ ilegítimo para el sistema Windows que es capaz de infectar al ordenador con el ‘ransomware’.
Una vez contagiado, y como es habitual en este tipo de ataques, el ‘ransomware’ penetra los mecanismos de protección del dispositivo y desactiva la protección para encriptar y eliminar todos los archivos almacenados por el usuario.
El siguiente paso de los atacantes consisten en mostrar un mensaje en el que se identifican como ‘RobbinHood’ y exigen a los usuarios el pago de un rescate para recuperar sus datos de hasta 10.000 dólares en un plazo de hasta cuatro días.
Sophos ha identificado que el ataque afecta tanto a los usuarios de versiones antiguas del sistema operativo de Microsoft como Windows 7 y 8, como a la versión actual Windows 10.
Ransomware infection with the following steps (1) get access (2) disable security products (3) destroy (encrypt) data. https://t.co/x0jaoR18Ph pic.twitter.com/SwvgyAafE6
— Lukasz Olejnik (@lukOlejnik) February 7, 2020