Ransomware może teraz działać bezpośrednio na procesorze, uzyskując dostęp do wszystkich zasobów przejętej jednostki.

Najnowsze Ransomware dociera do najgłębszych fundamentów infrastruktury obliczeniowej

Producenci chipów zazwyczaj używają aktualizacji mikrokodu do naprawiania błędów i poprawy niezawodności procesora. Jednak ta niskopoziomowa warstwa między sprzętem a kodem maszynowym może również służyć jako ukryty wektor ataku - zdolny do ukrywania złośliwych ładunków przed wszystkimi zabezpieczeniami opartymi na oprogramowaniu. Wraz z ewolucją zagrożeń, nawet najgłębsze warstwy systemu nie mogą być już uważane za bezpieczne.

Naukowy badający bezpieczeństwo opracowali sposób na „uzbrojenie” aktualizacji mikrokodu w celu zainstalowania oprogramowania ransomware bezpośrednio na procesorze. Analityk Rapid7, Christiaan Beek, zainspirował się krytyczną luką w procesorach AMD Zen, odkrytą przez badaczy Google na początku tego roku. Usterka ta może pozwolić atakującym na modyfikację instrukcji RDRAND i wstrzyknięcie niestandardowego mikrokodu, który zawsze wybiera „4” podczas generowania liczby losowej.

Aktualizacje mikrokodu teoretycznie powinny być wyłączne dla producentów procesorów, zapewniając, że poprawna aktualizacja zostanie zainstalowana tylko na kompatybilnych procesorach. Chociaż wstrzyknięcie niestandardowego mikrokodu jest trudne, nie jest to niemożliwe, jak pokazuje błąd RDRAND. Wykorzystując swoją wiedzę na temat bezpieczeństwa oprogramowania układowego, Beek postanowił napisać oprogramowanie ransomware na poziomie procesora.

The Register zauważa, że ekspert ds. bezpieczeństwa opracował proof-of-concept (PoC), który ukrywa ładunek ransomware wewnątrz procesora. Opisał ten przełom jako „fascynujący”, choć nie planuje udostępniać żadnej dokumentacji ani kodu z PoC. Cyberprzestępcy mogliby ominąć wszystkie tradycyjne technologie bezpieczeństwa po włamaniu się do procesora lub oprogramowania układowego płyty głównej przy użyciu metody Beeka.

Beek podkreślił, że zagrożenia ransomware na bardzo niskim poziomie nie są tylko teoretyczne. Na przykład niesławny bootkit BlackLotus może naruszyć oprogramowanie układowe UEFI i zainfekować systemy chronione przez Secure Boot. Zacytował również fragmenty dziennika czatu grupy Conti ransomware z 2022 roku. Deweloperzy Conti podobno pracowali nad PoC, aby zainstalować oprogramowanie ransomware bezpośrednio w oprogramowaniu układowym UEFI.

„Jeśli zmodyfikujemy oprogramowanie układowe UEFI, możemy uruchomić szyfrowanie przed załadowaniem systemu operacyjnego. Żaden system antywirusowy nie jest w stanie tego wykryć” - stwierdzili cyberprzestępcy.

Dzięki odpowiedniemu exploitowi mogliby oni wykorzystać podatne na ataki wersje UEFI, które umożliwiały niepodpisane aktualizacje w celu przeprowadzenia ukrytej instalacji oprogramowania ransomware.

Beek powiedział, że gdyby kilku zdolnych hakerów w czarnych kapeluszach badało tego rodzaju zagrożenie lata temu, najbardziej utalentowani z nich w końcu odnieśliby sukces. Skrytykował on branżę IT za podążanie za trendami zamiast rozwiązywania podstawowych problemów. Podczas gdy korporacje koncentrują się na agentowej sztucznej inteligencji, uczeniu maszynowym i chatbotach, fundamentalne bezpieczeństwo pozostaje zaniedbane. Gangi ransomware zgarniają miliardy rocznie dzięki słabym hasłom, podatnościom wysokiego ryzyka i słabemu uwierzytelnianiu wieloskładnikowemu.