CPU-zsarolóvírus

Editors' Pick

A Rapid7 kiberbiztonsági szakértője, Christiaan Beek, a közelmúltban bemutatott egy olyan proof-of-concept (PoC) kódot, amely képes lenne a processzorok mikroprogramját (microcode) módosítani, és ezzel a CPU szintjén elhelyezkedő ransomware-t létrehozni. Ez az elképzelés egy AMD Zen processzorokban felfedezett sebezhetőségből indult ki, amely lehetővé teszi illetéktelen mikroprogram betöltését, így a támadók megkerülhetik a hagyományos titkosítási mechanizmusokat és módosíthatják a CPU működését. Bár a mikroprogram írása rendkívül összetett, nem lehetetlen; például a Google már demonstrálta, hogy képes olyan mikroprogramot injektálni, amely mindig ugyanazt az értéket adja vissza véletlenszám-generáláskor. Beek szerint, ha a ransomware a CPU szintjén vagy a firmware-ben helyezkedik el, az képes megkerülni a legtöbb hagyományos biztonsági technológiát.

Bár jelenleg nincs ismert, aktív malware, amely ezt a technikát alkalmazza, vannak jelek arra, hogy a bűnözők ebbe az irányba haladnak. Már 2018 óta elérhetők UEFI bootkitekkel kapcsolatos eszközök a kiberbűnözői fórumokon, amelyek lehetővé teszik a Secure Boot megkerülését és a firmware-be ágyazott malware-ek létrehozását, amelyek túlélnek egy operációs rendszer újratelepítést is. A 2022-es Conti szivárgásokból kiderült, hogy a ransomware csoport fejlesztői firmware szintű ransomware megoldásokon dolgoztak, például olyanokon, amelyek a UEFI firmware-t módosítják, így a titkosítás még az operációs rendszer betöltése előtt elindul, és az antivírus szoftverek nem képesek észlelni.

FORRÁS