El ransomware es un tipo de malware especial que está ahora mismo en boca de todos. Se trata de una variante muy preocupante que secuestra nuestros archivos y nos exige un rescate monetario. Además, en algunas ocasiones, inclusos nos chantajean con publicar nuestros datos personales en Internet. Esta amenaza de seguridad debe buscar la forma de llegar al PC, ya sea mediante un correo phishing o aprovechando una vulnerabilidad en el sistema operativo o en las aplicaciones. En este caso, el ransomware RobbinHood aprovecha drivers defectuosos de Windows para desactivar el antivirus y poder “campar” a sus anchas en el sistema para hacer de las suyas.

El ransomware es un malware que solicita un rescate a sus víctimas por recuperar la información o dispositivo bloqueado. Ese es su objetivo, pero antes de eso, debe conseguir el acceso al equipo. Como hemos dicho, existen varias alternativas para conseguirlo. Los ciberdelincuentes de RobbinHood, el ransomware que no ocupa en este artículo, han aprovechado una vulnerabilidad en unos drivers para Windows.

Tu antivirus no sirve de nada, RobbinHood lo apaga

La firma de seguridad Sophos ha presentado un completo informe sobre el ransomware que aprovecha una vulnerabilidad en unos drivers de Windows para desactivar el antivirus y proceder a cifrar los archivos de los usuarios. Este driver pertenece a Gigabyte y cuenta con una vulnerabilidad catalogada como CVE-2018-19320. Este driver ha sido actualizado, pero no todos los usuarios tienen la versión corregida.

Además, Verisign, responsable de la firma digital del driver, no ha revocado su certificado, por lo que sigue apareciendo como legítimo. Los ciberdelincuentes aprovechan este driver firmado digitalmente para Windows para colar en el sistema un segundo driver sin firmar. Este segundo driver es el responsable de desactivar el antivirus y comenzar con el proceso de cifrado de archivos.

Esta firma de seguridad confirma que es la primera vez que ven que se utilice un driver firmado para colar malware en un sistema Windows. En este caso, se trata de un ransomware que ha sido bautizado como RobbinHood. Eso sí, lo que no es nuevo es encontrar amenazas de seguridad de este tipo que busquen “apagar” el antivirus para poder actuar libremente.

Los ficheros extraídos en C:\WINDOWS\TEMP para realizar el ataque son: STEEL.EXE, ROBNR.EXE, GDRV.SYS, RBNL.SYS y PLIST.TXT. Desde Sophos recomiendan activar la autenticación en dos pasos dónde sea posible, utilizar contraseñas seguras, limitar los permisos, hacer copias de seguridad de forma regular, apagar Escritorio Remoto (RDP) y activar la protección contra alteraciones en Windows 10.