安全公司曝光“自带旧款驱动”勒索木马，黑客可“降级”受害者电脑软件利用已知漏洞提权

图片地址：https://img.ithome.com/newsuploadfiles/2024/8/a794f5a2-0c11-400c-8d94-caf265496b75.png

IT之家 8 月 17 日消息，近年来勒索软件攻击愈发猖獗，黑客不断升级攻击手段以确保能够长驱直入受害者电脑。目前安全公司 Sophos 便报道有黑客组织 RansomHub 开发了一种“自带旧版驱动”的勒索木马，该勒索木马自带旧版硬件驱动，在运行后即会降级受害者设备驱动，从而让黑客趁虚而入，提高勒索软件攻击成功率。IT之家参考报告获悉，黑客组织在今年 5 月利用相关工具对安全公司 Sophos 发动了一系列攻击，黑客首先利用一款名为 EDRKillShifter 的勒索木马试图停用 Sophos 的端点防护程序，但未能成功。此后黑客便使用了一款自带旧版驱动的勒索木马进行“降级式”攻击（学名为“自带驱动程序攻击”，Bring Your Own Vulnerable Driver），具体来说，就是黑客将受害者设备上的驱动更换为存在漏洞的旧版驱动程序，再利用驱动漏洞提权后进行进一步操作。黑客具体攻击方式如下：黑客将勒索木马注入至受害