La compañía de ciberseguridad Sophos ha descubierto dos nuevas campañas de 'ransomware' en las que, bajo el nombre de 'Robbin Hood', los cibercriminales aprovecharon vulnerabilidades presentes en el 'firmware' de algunos modelos de placas base. Los ciberdelincuentes exigen rescates a los usuarios, a cambio de recuperar los datos de sus dispositivos.
El 'hardware' afectadoproviene de un 'driver' antiguo utilizado por el fabricante taiwanés de placasGigabyte, que contiene la vulnerabilidad CVE-2018-19320, descubierta en 2018.
Aunque este 'firmware' vulnerable ha dejado de utilizarse en las placas desarrolladas posteriormente por Gigabyte, según defendió el propio fabricante, la vulnerabilidad aún existe y "sigue siendo una amenaza", como asegura Sophos en un comunicado.
El 'ransomware' penetra los mecanismos de protección del dispositivo y desactiva la protección
A través del fallo deseguridad en el 'driver' de las placas de Gigabyte, los atacantes puedengenerar otro 'driver' ilegítimo para el sistema Windows que es capaz deinfectar al ordenador con el 'ransomware'.
Una vez contagiado, ycomo es habitual en este tipo de ataques, el 'ransomware' penetra losmecanismos de protección del dispositivo y desactiva la protección paraencriptar y eliminar todos los archivos almacenados por el usuario.
El siguiente paso de los atacantes consisten en mostrar un mensaje en el que se identifican como 'Robbin Hood' y exigen a los usuarios el pago de un rescate para recuperar sus datos de hasta 10.000 dólares en un plazo de hasta cuatro días.
Sophos ha identificadoque el ataque afecta tanto a los usuarios de versiones antiguas del sistemaoperativo de Microsoft como Windows 7 y 8, como a la versión actual Windows 10.