Sicherheitsforscher von SophosLabs weisen in einem aktuellen Bericht auf eine neuartige Ransomware-Angriffsmethode mittels RobinHood hin.
Sicherheitsforscher von SophosLabs weisen in einem aktuellen Bericht vom 06. Februar 2020 auf eine neuartige Ransomware-Angriffsmethode mittels RobinHood hin. Demzufolge nutzen die Ransomware-Erpresser einen legitimen, digital signierten Hardwaretreiber von Gigabyte als Hebel, um einen zweiten, nicht signierten Treiber in Windows zu laden. Der zweite Treiber versucht dann, die Prozesse der Antivirensoftware zu deaktivieren. Dadurch kann der Manipulationsschutz der Malware umgangen werden. Der Weg ist nun frei für die Schadsoftware und führt zum eigentlichem Ziel, dem Verschlüsseln von Dateien. Gemäß den Sicherheitsforschern können dadurch auch vollständig gepatchte Computer, die keinerlei bekannte Schwachstellen haben, von dieser Attacke betroffen sein.
RobinHood: Malware verschlüsselt PCs, Erpresser fordern Bitcoin zum Entsperren
RobinHood ist eine Malware, die die Festplatte des Opfers mit der RSA + AES-Verschlüsselungskombination verschlüsselt und von dem Opfer eine Bitcoin-Zahlung zwecks Datenwiederherstellung verlangt. Das Schadprogramm wurde ursprünglich in Googles Programmiersprache Go erstellt und zu einer 32-Bit-Programmdatei kompiliert.
Michael Veit, IT-Security-Experte bei Sophos, führt dazu aus:
„Dies ist das erste Mal, dass wir Ransomware beobachten, die einen von Microsoft mitsignierten und dennoch anfälligen Treiber nutzt, um den Windows Kernel direkt im Speicher zu überschreiben, einen eigenen, nicht signierten Treiber zu laden und dann Sicherheitsanwendungen aus dem Kernel zu entfernen. Die von den SophosLabs in beiden Fällen aufgedeckte Ransomware nennt sich selbst RobinHood und hat bereits Ende letzten Jahres für Schlagzeilen gesorgt. Bei Sophos haben wir zum Schutz vor der Attacke den ungewöhnlichen Schritt unternommen, die anfällige Gigabyte-Treiberdatei gdrv.sys als bösartig zu klassifizieren, wenn sie im Kontext dieses Angriffs installiert wird. Dazu gehört die Verwendung mit den Pfaden desktoprobingdrv.sys oder windowstempgdrv.sys.“
Cyberkriminelle nutzen neue Angriffsmethode für beabsichtigte Infektion
Der ursprünglich verwendete Treiber, der als Ausgangspunkt des Angriffs dient, ist keine Schadsoftware, sondern Teil einer offiziellen Softwarekomponente des taiwanesischen Mainboard-Herstellers Gigabyte. Daher ist er vom Hersteller digital signiert. Die Signatur wird von Microsoft selbst als offiziell bestätigt. Zwar ist das Softwarepaket mit dem Treiber veraltet. Jedoch haben weder Microsoft noch Verisign, deren Code-Signatur-Mechanismus man zur digitalen Signatur des Treibers verwendet hat, das Signatur-Zertifikat widerrufen. Die Authenticode-Signatur ist demnach weiterhin gültig. Folglich wird Windows den Treiber wegen der Signatur laden.
Gelangt die Ransomware RobinHood auf den Computer, installieren die Angreifer zunächst den signierten Kerneltreiber. Anschließend nutzen die Cyberkriminellen eine seit 2018 bekannte Schwachstelle (CVE-2018-19320) im legitimen Treiber aus, um Kernelzugriff zu erlangen. Die Signaturüberprüfung von Windows setzt man in einem weiteren Schritt vorübergehend außer Kraft. Nun ist der Weg frei, um den eigenen, nicht signierten und böswilligen Kerneltreiber zu laden, der dann die Antivirensoftware deaktiviert. Gleich nach der Installation verschlüsselt RobinHood die Daten und fordert das Lösegeld ein.
RobbinHood oder RobinHood?
Update: Irgendwie schreibt jeder die Malware, wie es ihm gerade gefällt. In den Medien wird die Schadsoftware mittlerweile größtenteils mit zwei b (= RobbinHood) bezeichnet, die Sicherheitsforscher von Sentinel Labs benutzten hingegen nur ein b. Wie auch immer man die Software schreibt, sie ist und bleibt gefährlich.
Foto DavidReed, thx!
Tarnkappe.info
