Allarme: Nuovo Ransomware per CPU Aggira Ogni Difesa

Un ricercatore di sicurezza ha creato un proof-of-concept di ransomware che rappresenta una minaccia senza precedenti: è in grado di infettare direttamente la CPU di un computer, aggirando di fatto ogni sistema di sicurezza software tradizionale, inclusi gli antivirus.

Questo nuovo tipo di ransomware opera alterando il microcodice della CPU, il set di istruzioni di basso livello che controlla il funzionamento del processore. Ciò significa che, anche formattando il disco rigido, reinstallando il sistema operativo o sostituendo componenti hardware come la scheda madre o la RAM, il ransomware persisterebbe, continuando a criptare i dati e a richiedere un riscatto.

Christiaan Beek, senior director of threat analytics presso Rapid7, ha dimostrato la fattibilità di questo attacco sfruttando una vulnerabilità nei processori AMD Zen che, se sfruttata da attaccanti esperti, potrebbe consentire l'iniezione di microcodice non autorizzato. Sebbene l'iniezione di microcodice sia complessa e generalmente limitata ai produttori di chip, Beek ha creato un ransomware proof-of-concept che opera all'interno del microcodice della CPU, rendendolo invisibile agli strumenti di sicurezza convenzionali.

Questo scenario rappresenta una grave escalation nel panorama delle minacce informatiche. I ransomware tradizionali si basano sull'infezione del sistema operativo o dei file, ma un ransomware a livello di CPU bypasserebbe completamente queste difese. Beek stesso ha affermato che "ransomware a livello di CPU, alterazione del microcodice, e se sei nella CPU o nel firmware, aggirerai ogni dannata tecnologia tradizionale che abbiamo là fuori".

Sebbene questo tipo di attacco rimanga per ora teorico, la sua fattibilità dimostra la necessità di una maggiore attenzione alla sicurezza a livello di firmware e hardware. Gli esperti di sicurezza informatica esprimono preoccupazione per la crescente tendenza dei criminali informatici a esplorare attacchi a livello di firmware, come dimostrato da precedenti bootkit UEFI e da conversazioni trapelate dal gruppo ransomware Conti nel 2022.

La comparsa di questo proof-of-concept sottolinea l'importanza di rafforzare le difese di base, come password complesse e autenticazione a più fattori, e di non concentrarsi esclusivamente su tecnologie avanzate come l'intelligenza artificiale, trascurando le fondamenta della sicurezza informatica.