Advertentie
Een beveiligingsonderzoeker heeft een verontrustend proof-of-concept ontwikkeld waarmee ransomware rechtstreeks in de microcode van een CPU wordt geïnjecteerd. Hierdoor blijft de malware onzichtbaar voor traditionele virusscanners en kan het zich handhaven, zelfs als de harde schijf wordt vervangen. De ontdekking werd onthuld in een interview van The Register met Christiaan Beek, cybersecurity-expert bij Rapid7.
Malware op hardware-niveau is niet nieuw — denk aan UEFI-rootkits zoals CosmicStrand of LoJax — maar Beek's methode is uniek. Zijn aanpak maakt misbruik van een specifieke lek de microcode van AMD’s Zen-processors, waarmee kwaadwillenden microcode kunnen aanpassen voor persistente en moeilijk detecteerbare aanvallen. De PoC laat zien dat het mogelijk is om ransomware permanent op de CPU te installeren, los van het besturingssysteem of de opslagmedia.
Volgens Beek is de techniek nog niet in het wild aangetroffen, maar hij wijst erop dat in gelekte chatlogs van de Conti-ransomwaregroep uit 2022 al werd gespeculeerd over dit soort aanvalsmethoden. Tot dusver lijken cybercriminelen de techniek nog niet onder de knie te hebben, maar volgens Beek is het slechts een kwestie van tijd:
“Als ze er jaren geleden al aan werkten, kun je erop rekenen dat sommigen vroeg of laat slim genoeg worden om dit echt te bouwen.”
De onderzoeker benadrukt dat hij zijn proof-of-concept niet openbaar zal maken om misbruik te voorkomen.
Ransomware vormt momenteel een van de grootste bedreigingen voor bedrijven wereldwijd. Uit recent onderzoek van Veeam, gebaseerd op feedback van ruim 1.300 CISO’s, IT-leiders en beveiligingsspecialisten in Noord-Amerika, Europa en Australië, blijkt dat bijna drie kwart van de ondervraagde organisaties in het afgelopen jaar slachtoffer is geworden van een ransomware-aanval. De schade loopt jaarlijks in de miljarden dollars.