Phần mềm ransomware cấp CPU đầu tiên trên thế giới ở đây

Chuyên gia Chrstiaan Beek của Rapid7 đã viết mã thử nghiệm cho ransomware có khả năng tấn công CPU, và cảnh báo về những mối đe dọa trong tương lai có thể khóa ổ đĩa cho đến khi tiền chuộc được trả. Cuộc tấn công này có thể vượt qua hầu hết các phương pháp phát hiện ransomware truyền thống. Trong một cuộc phỏng vấn với The Register, Beek, giám đốc phân tích mối đe dọa của Rapid7, tiết lộ rằng một lỗi trên chip AMD Zen đã khiến ông nghĩ rằng một kẻ tấn công có kỹ năng cao có thể cho phép kẻ xâm nhập tải mã vi xử lý không được phê duyệt vào các bộ xử lý, làm hỏng mã hóa ở cấp phần cứng và thay đổi hành vi của CPU theo ý muốn.

Nhóm an ninh của Google đã phát hiện một lỗ hổng bảo mật trong các CPU AMD từ Zen 1 đến Zen 4, cho phép người dùng tải các bản vá microcode chưa ký. Lỗ hổng này cũng ảnh hưởng đến CPU Zen 5 của AMD. May mắn thay, vấn đề có thể được khắc phục bằng microcode mới. Tuy nhiên, Beek đã thấy cơ hội cho mình. Với nền tảng về bảo mật firmware, anh đã nghĩ rằng mình có thể viết ransomware cho CPU, và chính xác là như vậy.

Ransomware Akira có thể bị phá mã với 16 GPU RTX 4090 trong khoảng 10 giờ. Một cuộc tấn công phản công đã phá vỡ mã hóa. AMD đã sửa lỗi quan trọng trong vi mã Zen 5 và các đối tác cung cấp BIOS mới với AGESA 1.2.0.3C. Dự án Trung Quốc nhằm chạy mã RISC-V trên vi xử lý AMD Zen. Theo báo cáo, Beek đã viết mã thử nghiệm cho ransomware có thể ẩn trong CPU, nhưng hứa sẽ không công bố nó.

Theo báo cáo, Beek cho rằng loại khai thác này có thể dẫn đến kịch bản xấu nhất là ransomware ở cấp CPU và thay đổi microcode, cho phép vượt qua mọi công nghệ bảo mật hiện có. Beek cũng đề cập đến những bình luận bị rò rỉ từ nhóm ransomware Conti vào năm 2022 và đã trình bày các nhật ký trò chuyện của nhóm tại RSAC.

Tôi đang làm một PoC về ransomware cài đặt vào UEFI, khiến cho việc cài đặt lại Windows cũng không xóa được mã hóa. Một người khác cho rằng với firmware UEFI đã chỉnh sửa, chúng ta có thể kích hoạt mã hóa trước khi hệ điều hành khởi động, và không phần mềm diệt virus nào phát hiện được. Một hacker đã giả thuyết rằng nếu chúng ta kiểm soát BIOS và tải bootloader của mình, chúng ta có thể khóa ổ đĩa cho đến khi tiền chuộc được trả.

Beek cảnh báo rằng nếu những kẻ xấu đã làm việc với các lỗ hổng này vài năm trước, thì chắc chắn một số người sẽ ngày càng thông minh hơn và bắt đầu tạo ra các mối đe dọa này. Kết thúc cuộc phỏng vấn, Beek bày tỏ sự thất vọng rằng không nên nói về ransomware vào năm 2025 và nhấn mạnh rằng mọi người cần cùng nhau khắc phục các vấn đề cơ bản về an ninh phần cứng. Ông cũng chỉ ra rằng nhiều vụ tấn công ransomware xuất phát từ các lỗ hổng rủi ro cao, mật khẩu yếu, thiếu xác thực và nhiều vấn đề khác.

Theo dõi Toms Hardware trên Google News để nhận tin tức, phân tích và đánh giá mới nhất. Đừng quên nhấn nút Theo dõi.

Nguồn: www.tomshardware.com/pc-components/cpus/worlds-first-cpu-level-ransomware-can-bypass-every-freaking-traditional-technology-we-have-out-there-new-firmware-based-attacks-could-usher-in-new-era-of-unavoidable-ransomware