La compañía de ciberseguridad Sophos ha descubierto dos campañas de ‘ransomware’ en las que, bajo el nombre de ‘Robbin Hood’, los cibercriminales aprovecharon vulnerabilidades en algunos modelos de placas base para exigir rescates a los usuarios a cambio de recuperar los datos de sus dispositivos.

El ‘hardware’ afectado proviene de un ‘driver’ antiguo utilizado por el fabricante taiwanés de placas Gigabyte, que contiene la vulnerabilidad CVE-2018-19320, descubierta en 2018.

Aunque éste ha dejado de utilizarse en las placas desarrolladas posteriormente por Gigabyte, la vulnerabilidad aún existe y «sigue siendo una amenaza».

A través del fallo de seguridad en el ‘driver’ de las placas de Gigabyte, los atacantes pueden generar otro ‘driver’ ilegítimo para el sistema Windows que es capaz de infectar al ordenador con el ‘ransomware’.

Una vez contagiado, y como es habitual en este tipo de ataques, el ‘ransomware’ penetra los mecanismos de protección del dispositivo y desactiva la protección para encriptar y eliminar todos los archivos almacenados por el usuario.

El siguiente paso de los atacantes consisten en mostrar un mensaje en el que se identifican como ‘RobbinHood’ y exigen a los usuarios el pago de un rescate para recuperar sus datos de hasta 10.000 dólares en un plazo de hasta cuatro días.

Sophos ha identificado que el ataque afecta tanto a los usuarios de versiones antiguas del sistema operativo de Microsoft como Windows 7 y 8, como a la versión actual Windows 10.