Se ha descubierto un malicioso driver de Windows que es capaz de infectar los ordenadores, lanzando un ataque ransomware que pide una cuantiosa cantidad económica para supuestamente liberarnos.

La compañía de seguridad Sophos acaba de advertir sobre un nuevo ataque de ransomware que se está cebando con multitud de equipos en todo el mundo. Este ataque, bastante avanzado, es capaz de utilizar un controlador Gigabyte vulnerable para entrar de esta manera al sistema Windows, y después es capaz incluso de deshabilitar el antivirus para que nunca pueda ser eliminado.

Este fallo se basa en un problema de seguridad encontrado en un controlador Gigabyte en 2018, y que puede seguir explotándose si aún lo tienes instalado en tu ordenador. Si bien este controlador ya ha sido abandonado por Gigabyte, es probable que los ordenadores antiguos puedan tenerlo instalado y puede ser la puerta de entrada para este ataque ransomware.

Este controlador malicioso podría permitir a los atacantes obtener acceso a un dispositivo e implementar un segundo controlador cuyo propósito es eliminar todos los productos de antivirus. Desde Sophos sostienen que “esta es la primera vez que observamos que el ransomware envía un controlador de terceros cofirmado de Microsoft para parchear el kernel de Windows en la memoria, cargar su propio controlador malicioso sin firmar y eliminar aplicaciones de seguridad del espacio del kernel”.

El ransomware, de nombre RobbinHood, invita a las víctimas a que paguen una cuantiosa cantidad económica cuyo precio va aumentando en 10.000 dólares diarios. 

Según se ha detallado sobre su funcionamiento, el archivo ejecutable utilizado para explotar el controlador Gigabyte gdrv.sys se llama Steel.exe, y es capaz de extraer un archivo de nombre ROBNR.EXE en la carpeta temporal de Windows que a su vez extrae dos controladores diferentes, el desarrollado por Gigabyte que es vulnerable y está abandonado, y otro para deshabilitar el antivirus del ordenador.