Les cartes mères Gigabytes, les cibles du rançongiciel Robinhood
Les pirates informatiques qui se servent du fameux programme malveillant Robinhood ont décidé d’exploiter des failles de sécurité présente dans le driver des cartes mères Gigabytes.
L’objectif est d’éliminer la protection antivirus liés aux terminaux cibles.
On se rappelle qu’en fin d’année 2019, la ville américaine de Baltimore avait été paralysée sur le plan informatique par un programme malveillant de type rançongiciel. Ce programme se fait appeler Robinhood. Mais sa célébrité ne se limite pas simplement à l’attaque de la ville de Baltimore dans le Maryland. La ville de Greenville dans la Caroline du Nord a été aussi victime du même programme malveillant. Les experts de la sécurité informatique de la société de cybersécurité Sophos, après avoir étudié ce logiciel malveillant ont décrit certaines de ses particularités. Les utilisateurs se basent essentiellement sur une faille de sécurité (CVE-2018-19320) qui fut découverte en 2018.
Cet article va aussi vous intéresser : 4 questions à répondre pour un système de sécurité plus sûr
La vulnérabilité en question est à présent dans les cartes mères Gigabytes. Le fournisseur de cette technologie alors mis fin à la production du driver vulnérable. Cependant, « il existe toujours et il demeure apparemment une menace », ont signifié les experts de Sophos : « Verisign, dont le mécanisme de signature de code a été utilisé pour authentifier numériquement le pilote, n’a pas révoqué le certificat de signature, celui d’Authenticode reste donc valide. ».
Par ailleurs, le fournisseur Taiwanais Gigabyte n’est pas le seul fabricant dont les productions sont exposées à la faille de sécurité. En effet cela a été détecté sur plusieurs autres drivers ne provenant pas de ce dernier. Et cela à travers plusieurs stratégies utilisées par les pirates informatiques. Parmi les autres fabricants de VirtualBox pour la vulnérabilité CVE-2008-3431. ASUS pour CVE-2018-18537, ASUS pour CVE-2018-18537 et CPU-Z pour CVE-2017-15302.
La mise en place du programme Robinhood va consister pour les pirates informatiques, à utiliser la vulnérabilité découverte dans les cartes mères pour bloquer le fonctionnement normal des systèmes en bloquant les processus et les tâches qui seraient alors liés « à des produits de sécurité de protection des terminaux et périphériques endpoints de façon à permettre au ransomware RobbinHood d’être opérationnel. » expliquent les chercheurs : « C’est la première fois que nous observons l’envoi par le biais d’un driver signé mais vulnérable d’un ransomware capable de charger dans le noyau Windows un driver malveillant non signé et supprimer les applications de sécurité de l’espace noyau (…) Les pirates utilisent plusieurs types de fichiers pour réaliser cette attaque, extraites vers le répertoire C:\WINDOWS\TEMP. Dont l’application STEEL.EXE qui tue les processus et fichiers des produits de sécurité utilisant les drivers du noyau Windows, ROBNR.EXE pour déployer un driver non signé, GDRV.SYS, un driver signé Authenticode à la date de validité dépassée mais contenant une vulnérabilité, et RBNL.SYS, le driver malveillant qui tue les processus et efface les fichiers en mémoire noyau. ».
Face à cette procédure du programme malveillant pour détourner le système de protection pour pouvoir mettre à mal l’ensemble du réseau, les experts de Sophos donnent quelques recommandations pour être en mesure d’éviter le problème que pose Robinhood :
1 – Inclure l’utilisation du cloud public de sa stratégie de sécurité informatique tout en évitant la concentration cybersécurité autour d’une seule stratégie.
2- Mettre en place une méthode d’authentification un facteur multiple accompagnée de mots de passe assez complexes
3- Les accès doivent être limité cause juste nécessaire
4- Envisager des sauvegardes hors ligne de l’ensemble de ces données
5- Faire une sensibilisation de l’ensemble du personnel et des utilisateurs ayant accès au système d’information.
Accédez maintenant à un nombre illimité de mot de passe :