A Sophos kiberbiztonsági cég legújabb elemzése arra mutat rá, hogy kiberbűnözők miként használtak fel egy harmadik féltől származó sebezhetőséget a biztonsági szoftverek törléséhez, mielőtt a Robbinhood névre keresztelt zsarolóvírust bevetették. A RobbinHood zsarolóvírus tartalmaz egy sebezhető, valamint egy ártó célú drivert, az előbbit érvényes digitális aláírása miatt az operációs rendszer gond nélkül betölti, ezután a biztonsági hibát kihasználva már az utóbbi is betölthető. Az ártalmas driver kódjának célja a megsemmisítés, a gépen található védelmek felszámolása.
Tehát még ha a Windows rendszere teljes mértékben frissítve is van és nincsenek ismert sebezhetőségei,
„A két zsarolóvírusos támadásról készült elemzésünk megmutatja, hogy mennyire gyorsan és veszélyesen fejlődik a fenyegetés. Első alkalommal láttuk azt, hogy egy zsarolóvírus saját maga biztosít legitim módon hitelesített, ám sebezhető harmadik féltől származó drivert egy eszköz irányításának átvételéhez, illetve a telepített biztonsági szoftver deaktiválásához. Így kikerülik azokat a funkciókat, melyeket arra terveztek, hogy az ilyen jellegű beavatkozásokat megakadályozzák. A védelem felszámolása miatt a vírus szabadon telepíthető, a zsarolóvírus pedig akadály nélkül futtatható lesz.” – mondta a kártékony kódról Szappanos Gábor, a Sophos kiberbiztonsági szakértője.
A szakértők azt ajánlják: alkalmazzunk olyan erős biztonsági intézkedéseket, mint például a többlépcsős hitelesítés, összetett jelszavak, korlátozott hozzáférési jogosultság, rendszeres frissítés és biztonsági másolatok készítése az adatokról, illetve a sebezhető távoli hozzáféréses szolgáltatások lezárása.
(Kiemelt kép: iStock)
