Рансъмуерът вече може да се стартира директно в процесора

Производителите на чипове обикновено използват актуализациите на микрокода, за да отстраняват забелязаните бъгове и да подобряват надеждността на процесора. Оказа се, че този слой от ниско ниво, разположен между хардуера и машинния код, може да служи и като вектор за скрити атаки, способен да скрие злонамерени пакети, които не могат да бъдат открити от нито една софтуерна защита. С еволюцията на хакерските атаки дори и най-дълбоките слоеве на компютърната система вече не могат да се считат за безопасни.

Изследовател в областта на сигурността разработи начин за използване актуализациите на микрокода като метод за инсталиране на рансъмуер директно в процесора. Аналитикът на компанията Rapid7 Кристиян Беек се е вдъхновил от вече отстранен критичен недостатък в процесорите Zen на AMD, открит от изследователи на Google по-рано тази година. Тази грешка даваше възможност на хакерите да модифицират инструкцията RDRAND чрез инжектиране на персонализиран микрокод, който винаги дава „4“ при генериране на случайно число.

Актуализациите на микрокода теоретично би трябвало да са достъпни единствено за производителите на процесори, което гарантира, че правилната актуализация се инсталира само на съвместимите процесори. Въпреки че инжектирането на потребителски микрокод е трудно, то не е невъзможно, както показва грешката при RDRAND. Използвайки знанията си в областта на сигурността на фърмуера, Беек се заема да напише рансъмуер на ниво процесор.

Изданието The Register отбелязва, че експертът по сигурността е разработил концептуално доказателство (PoC), което скрива рансъмуер в процесора. Той описва пробива като „очарователен“, но категорично не възнамерява да публикува каквато и да било документация или код от написаната от него концептуална програма. Чрез този метод киберпрестъпниците могат да избегнат всички традиционни технологии за сигурност, след като компрометират фърмуера на процесора или на дънната платка.

Беек подчертава, че заплахите от рансъмуер на толкова ниско ниво не са само теоретични. Така например известният бууткит BlackLotus може да компрометира UEFI фърмуера и да зарази системите, защитени със Secure Boot.

"Ако се модифицира UEFI фърмуера, можем да задействаме криптирането от страна на този нов вид рансъмуер преди зареждането на операционната система. Никоя антивирусна програма не може да открие това“, заявяват опитните хакери.

С помощта на подходящ експлойт те могат да използват уязвимите версии на UEFI, които позволяват инсталирането на неподписани актуализации, за да извършат скрита инсталация на рансъмуер.

Беек разкритикува ИТ индустрията, че преследва тенденции, вместо да решава основните фундаментални проблеми. Докато корпорациите се фокусират върху генеративния ИИ, машинното обучение и чатботовете, фундаменталната сигурност остава пренебрегната. С помощта на рансъмуер и до днес се заграбват милиарди долари годишно чрез слаби пароли, високорискови уязвимости и некачествено многофакторно удостоверяване.