Haberler

Antivirüs Yazılımlarını Öldüren Fidye Yazılım: Robin Hood

Bilgi Güvende

tarafından

10 Şubat 2020

tarihinde yayımlandı

Bir fidye yazılım çetesinin, belirlediği hedeflerin siber güvenlik altyapısını ortadan kaldırmak için GIGABYTE sürücüleri kullandığı anlaşıldı. Siber suçlular, yasal görünümlü GIGABYTE sürücüleri kullanarak hedefledikleri bilgisayarlara fidye yazılımları tespit edilmeden yüklüyor ve dosyaları şifreliyor. Fidye yazılım alanında yeni bir yönteme işaret eden saldırı, Robin Hood adını taşıyor. Saldırının, ağırlıklı olarak “büyük değer” taşıyan hedefler için kullanıldığı kaydediliyor.

Güvenlik uzmanlarına göre Robin Hood saldırısı titizlikle yürütülen birçok basamağa sahip. İlk olarak hedef olarak belirlenen ağ inceleniyor. Ardından yasal görünümlü GDRV.SYS sürücüsü sisteme yükleniyor.

Bu şekilde sisteme erişim sağlanırken Windows işletim sistemi geçici olarak devre dışı bırakılıyor.

Bir sonraki adımda kötü amaçlı yazılım içeren ve RBNL.SYS adı verilen sürücü yükleniyor. Sistemdeki anti-virüs yazılımlarını devre dışı bırakan sürücü, fidye yazılımın tespit edilmeden bulaşmasını sağlıyor.

Güvenlik uzmanları, siber suçluların Gigabyte sürücülerindeki zafiyetten yararlanarak Robin Hood saldırısını geliştirdiklerine dikkat çekti.

Gigabyte, sürücülerini etkilediği tespit edilen güvenlik açığı için yama üretmek yerine “ürünlerinin tehdit altında olmadığını” açıklamıştı.

Daha da kötüsü, araştırmacıların güvenlik açığı hakkında sunduğu detaylı raporlar siber suçlulara yol gösteren bir kılavuz oldu.

Gigabyte sorunun büyümesi üzerine yama geliştirmek yerine enfekte olan sürücüleri kullanımdan çıkardı. Ancak eski sürücüleri kullanan sistemler risk altında kaldı. Gigabyte’ın iş ortaklarından Verisign da Gigabyte ürünleri için kullanılan kod imzalama mekanizmasını yenilemedi ve sorun katlarak devam etti.

Güvenlik uzmanları, yaşanan ihmallerin birçok sistemin saldırıya uğramasına izin vermesinin yanında, siber suçlulara Robin Hood benzeri yeni saldırılar geliştirmeleri için tecrübe kazandırdığını ifade ediyor.

Güvendik altyapılarının bypass edilmesini sağlayacak benzer yeni saldırı çeşitleri, ileride sadece firmaların değil orijinal donanım üreticilerin de kabusu olabilir.