安全公司Sophos警告說，新的勒索軟件攻擊使用了易受攻擊的技嘉驅動程序，試圖闖入Windows系統，然後禁用正在運行的安全軟件。該攻擊基於2018年在技嘉驅動程序中發現的安全漏洞，該安全漏洞在CVE-2018-19320中有詳細說明。

該驅動程序在技嘉確認該錯誤後已被廢棄，它允許惡意攻擊者利用此漏洞來嘗試訪問設備並部署第二個驅動程序，目的是殺死系統當中的殺毒產品。Sophos表示，第二個驅動程序會不遺餘力地殺死屬於端點安全產品的進程和文件，繞過篡改保護，使勒索軟件能夠在不受干擾的情況下進行攻擊。這是安全研究人員第一次觀察到勒索軟件運送一個微軟聯合簽名的第三方驅動程序來修補內存中的Windows內核，以加載自己未簽名的惡意驅動程序，並從內核空間中刪除安全應用程序

這次黑客使用的勒索軟件稱為RobbinHood，它要求受害者付款以解鎖其​​文件。贖金記錄上寫著，如果他們不付款，價格每天就會增加1萬美元。利用技嘉gdrv.sys驅動程序的可執行文件稱為Steel.exe，它提取Windows temp文件夾中名為ROBNR.exe的文件，該文件依次提取兩個不同的驅動程序，一個由Gigabyte開發（易受攻擊），另一個用於禁用受損設備上的防病毒軟件。一旦該漏洞被利用，Windows驅動程序簽名強制將被禁用，從而允許啟動惡意驅動程序。

Sophos表示，除了在勒索軟件攻擊中保持安全的常用做法外，沒有什麼可以幫助用戶阻止該漏洞被黑客利用。