Un expert în securitate cibernetică, Christian Beek, directorul companiei de securitate Rabid7, a semnalat un pericol interesant într-un interviu acordat The Register: el crede că va veni în curând momentul în care ransomware-ul va putea să se integreze în procesor, făcând imposibilă detectarea și dezactivarea acestuia de către programele de protecție tradiționale. De asemenea, este posibil ca noua generație de ransomware să blocheze accesul la absolut tot hardware-ul, până când ținta va plăti răscumpărarea - și bineînțeles, nu este garantat că nu va cădea victimă aceluiași capcană, chiar dacă plătește.

Expertul a luat în considerare posibilitatea de a dezvolta un virus similar, după ce s-a descoperit că AMD a descoperit un bug în arhitecturile ZEN 1 - ZEN 4 care permitea aplicarea de patch-uri în microcod, care nu sunt semnate digital, ulterior s-a descoperit că nici arhitectura ZEN 5 nu era scutită. De atunci, aceste probleme au fost remediate de AMD folosind un microcod nou, similar cu soluția Intel pentru Raptor Lake și Raptor Lake Refresh.

Expertul a construit pe aceste probleme, și a descoperit că se pot crea coduri similare care rulează direct din microcod, cel puțin în teorie, ocolind criptarea datelor la nivel hardware, și modificând funcționarea procesorului după placul lui. Beek are o experiență solidă în domeniul securității de firmware, motiv pentru care i-a venit ideea formulării atacului de mai sus, și după o perioadă de considerare, s-a decis să o încerce, creând un atac simulat.

A creat un cod care se ascunde pe procesor, dar a promis că nu își va publica lucrarea, pentru a nu le oferi infractorilor idei. Această formă de atac funcționează la nivelul procesorului, poate modifica microcodul, și să ocolească în mod ridicol toate mecanismele de apărare actuale, ele fiind amplasate în afara microcodului. De asemenea, este demn de remarcat faptul că pentru ca microcodul să ajungă la bordul procesorului, acesta trebuie să ajungă acolo prin intermediul firmware-ului la pornire.

Situația este îngrijorătoare și pentru că potrivit lui Beek, grupul de ransomware Conti, care a apărut pe scenă în 2022, a lucrat deja la un virus ransomware ascuns în UEFI, care nu poate fi eliminat cu doar o reinstalare de Windows. Această metodă poate cripta direct datele care sunt accesate, ceea ce înseamnă că nici un antivirus nu o poate detecta, sau chiar dacă o detectează, nu o poate opri. O idee similară s-a ridicat și în legătură cu BIOS, o încercare mult mai intrusivă decât cele care au suprascris CMOS în trecut.

Ideea de mai sus a fost lansată sub formă de comentarii în urmă cu câțiva ani, de atunci se lucrează activ la ea, iar Beek spune că putem să fim siguri că atacatorii vor găsi soluția de implementare în viitorul apropiat.

Beek consideră că în 2025 nu ar mai trebui să vorbim de potențialul dăunător al acestor practici, ci în schimb să trecem la fapte și să ridicăm calitatea sistemelor de securitate colaborând cu experții din industrie. A deplâns și numărul de atacuri ransomware care sunt cauzate folosirea parolelor slabe, lipsa de autentificare robustă, vulnerabilități cu risc ridicat subestimat, și multe altele - toate acestea ar putea fi abordate cu puțin efort.