‘Robin Hood’ vuelve a hacer de sus fechorías. Sophos, una compañía de ciberseguridad, ha descubierto dos nuevas campañas de ‘ransomware’ en las que, bajo el nombre del famoso personaje de británico de Adam Horowitz y Edward Kitsis, los cibercriminales aprovecharon vulnerabilidades presentes en el ‘firmware’ de algunos modelos de placas base para exigir rescates a los usuarios a cambio de recuperar los datos de sus dispositivos.
El ‘hardware’ afectado proviene de un ‘driver’ antiguo utilizado por el fabricante taiwanés de placas Gigabyte, que contiene la vulnerabilidad CVE-2018-19320, descubierta en 2018.
Aunque este ‘firmware’ vulnerable ha dejado de utilizarse en las placas desarrolladas posteriormente por Gigabyte, según defendió el propio fabricante, la vulnerabilidad aún existe y «sigue siendo una amenaza», como asegura Sophos en un comunicado.
A través del fallo de seguridad en el ‘driver’ de las placas de Gigabyte, los atacantes pueden generar otro ‘driver’ ilegítimo para el sistema Windows que es capaz de infectar al ordenador con el ‘ransomware’.
Una vez contagiado, y como es habitual en este tipo de ataques, el ‘ransomware’ penetra los mecanismos de protección del dispositivo y desactiva la protección para encriptar y eliminar todos los archivos almacenados por el usuario.
El siguiente paso de los atacantes consisten en mostrar un mensaje en el que se identifican como ‘Robbin Hood’ y exigen a los usuarios el pago de un rescate para recuperar sus datos de hasta 10.000 dólares en un plazo de hasta cuatro días.
Sophos ha identificado que el ataque afecta tanto a los usuarios de versiones antiguas del sistema operativo de Microsoft como Windows 7 y 8, como a la versión actual Windows 10.
