portugalcasino.pt

Driver para motherboards Gigabyte usado para ataques de ransomware

RobinHood

De acordo com um artigo publicado pela empresa de segurança informática Sophos, um ransomware chamado ‘RobinHood’ tem utilizado um driver para motherboards Gigabyte para infectar computadores e tomar conta deles.

Este ataque funciona em computadores com sistemas operativos Windows 7 e posteriores e, segundo a Sophos, a Gigabyte não deu importância aos avisos para a existência desta falha de segurança que agora está a ser explorada neste ataque.

Em 2018 a Gigabyte foi avisada por especialistas em segurança, mas não tomou logo medidas para reduzir ou resolver o risco nessa altura. Apenas quando o público começou a fazer pressão sobre a empresa é que esta reconheceu a sua existência.

Contudo, em vez de lançar uma actualização para resolver a vulnerabilidade nos modelos de motherboards mais antigos, a Gigabyte simplesmente deixou de dar suporte ao driver. É por esta razão que o driver é usado agora em ataques.

Segundo a Sophos, a Gigabyte não está sozinha nas culpas por esta situação, a Verisign também as tem. Dois anos depois da Gigabyte ter descontinuado o driver, este continuou a ser considerado seguro pelo Windows e por muitos programas antivírus por defeito porque a Verisign não revogou o seu certificado de segurança. Isto permitiu aos atacantes tirar partido do driver certificado para instalar outro, não certificado, nas máquinas atacadas.

Este segundo driver foi usado para alterar o kernel do Windows que está na memória e fazer parar os programas antivírus e outras soluções de segurança capazes de impedir o ransomware de tomar conta dos computadores infectados.

Segundo a Sophos, a ideia de malware tentar eliminar software antivírus não é nova, mas nunca tinham visto nenhum a usar drivers para o conseguir.

Muitas soluções de segurança têm uma lista interna de programas em que podem “confiar” em todos os tipos de instalações. Na prática isto é um compromisso que as empresas de segurança fazem de forma a evitar grandes números de resultados falsos positivos e também evitar que muitos utilizadores bloqueiem programas porque não percebem o que o software antivírus lhes está a pedir para fazer.

Para reduzir os riscos deste ransomware, a Sophos aconselha os utilizadores a não confiarem apenas numa única solução de segurança, adoptar as melhores práticas de segurança, como usar contas com direitos de acesso limitados por defeito, fazer cópias de segurança regulares e utiliza sistemas de autenticação de vários factores.