近年来勒索软件攻击愈发猖獗，欧博官网黑客不断升级攻击手段以确保能够长驱直入受害者电脑。目前安全公司 Sophos 便报道有黑客组织 RansomHub 开发了一种“自带旧版驱动”的勒索木马，该勒索木马自带旧版硬件驱动，在运行后即会降级受害者设备驱动，从而让黑客趁虚而入，提高勒索软件攻击成功率。

IT之家参考报告获悉，黑客组织在今年 5 月利用相关工具对安全公司 Sophos 发动了一系列攻击，欧博黑客首先利用一款名为 EDRKillShifter 的勒索木马试图停用 Sophos 的端点防护程序，但未能成功。

此后黑客便使用了一款自带旧版驱动的勒索木马进行“降级式”攻击（学名为“自带驱动程序攻击”，Bring Your Own Vulnerable Driver），具体来说，就是黑客将受害者设备上的驱动更换为存在漏洞的旧版驱动程序，再利用驱动漏洞提权后进行进一步操作。

黑客具体攻击方式如下：

黑客将勒索木马注入至受害者设备。

勒索木马启动后将解压安装 BIN 驱动文件

一旦驱动程序安装完成，黑客将利用驱动中已知的漏洞提权。

黑客获得权限后，便会尝试停用受害者设备上的杀软等服务，以便在没有干扰的情况下加密受害者的文件。

安全公司表示，这种“自带旧版驱动式”勒索木马的攻击手法证明黑客组织在不断更新他们的工具和技术以绕过现有的防护措施，这提醒安全行业需要时刻保持警惕以应对不断变化的威胁。

《微软 Win10 / Win11 被曝“降级”零日漏洞：瓦解已装补丁，重新利用旧漏洞》

本文转载自IT之家，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请联系IT之家通知我方删除，我方将在收到通知后第一时间删除内容！本文只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。 (责任编辑：)