Ransomware ukryty w procesorze to już nie teoria. Proof-of-concept pokazuje, iż atak na poziomie CPU omija wszystkie dotychczasowe zabezpieczenia. Eksperci ostrzegają przed nową erą cyberzagrożeń.
Christiaan Beek, dyrektor ds. analityki zagrożeń w Rapid7, stworzył ransomware typu proof-of-concept, który działa bezpośrednio na poziomie procesora. Atak wykorzystuje lukę w procesorach AMD Zen, umożliwiając załadowanie nieautoryzowanego mikro-kodu i zmianę zachowania CPU. Taki ransomware może ukryć się w samym procesorze, całkowicie omijając tradycyjne narzędzia antywirusowe i systemy bezpieczeństwa.
Beek podkreśla, iż tego typu atak to najczarniejszy scenariusz: jeżeli cyberprzestępca przejmie kontrolę nad mikro-kodem lub firmware, żadne klasyczne zabezpieczenia nie zadziałają. W praktyce oznacza to, iż choćby ponowna instalacja systemu operacyjnego czy wymiana dysku nie usunie zagrożenia – złośliwy kod pozostaje w CPU lub UEFI i może blokować dostęp do danych do czasu zapłacenia okupu.
Inspiracją dla proof-of-concept były wcześniejsze badania Google, które wykazały, iż w procesorach AMD Zen 1–4 można załadować niepodpisane łatki mikro-kodu. Luka dotyczy także nowych układów Zen 5, choć AMD pracuje już nad odpowiednimi poprawkami. Beek zapewnia, iż nie udostępni stworzonego kodu, ale ostrzega: jeżeli już dziś są tacy, którzy eksperymentują z ransomware w firmware, to tylko kwestia czasu, aż pojawią się realne ataki.
W 2022 roku wyciekły czaty grupy ransomware Conti, które potwierdzają, iż cyberprzestępcy od dawna pracują nad złośliwym oprogramowaniem ukrywającym się w UEFI. Takie ataki pozwalają na szyfrowanie danych jeszcze przed uruchomieniem systemu operacyjnego, a antywirusy nie są w stanie ich wykryć. „Wyobraź sobie, iż kontrolujemy BIOS i ładujemy własny bootloader, który blokuje dysk do czasu zapłacenia okupu” – pisał jeden z członków grupy. Beek krytykuje branżę za skupianie się na modnych technologiach, takich jak AI czy ML, zamiast na podstawach cyberbezpieczeństwa.
