Эксперт по кибербезопасности компании Rapid7 Кристиан Бик (Christiaan Beek) представил доказательство концепции (PoC) уникального вымогательского ПО, которое работает не в операционной системе, а на уровне центрального процессора. Это открытие может ознаменовать начало новой эры атак, обходящих любое антивирусное ПО, EDR и традиционные средства защиты.
По словам Бика, идею ему подсказала уязвимость в процессорах AMD Zen, позволяющая потенциально загружать неподписанный микрокод в чип — то есть напрямую модифицировать поведение CPU. Эту уязвимость ранее обнаружила команда безопасности Google, и она затрагивает все поколения от Zen 1 до Zen 5.
«Я подумал: “Вау, а ведь можно же написать вымогательское ПО на уровне процессора” — и я это сделал», — рассказал Бик в интервью The Register.
Что делает эту атаку уникальной
Новая форма угрозы позволяет злоумышленнику зашифровать данные до загрузки операционной системы, модифицируя UEFI или микрокод CPU. Такие атаки:
-
не видны для антивирусов и EDR;
-
переживают переустановку Windows;
-
могут встраиваться в BIOS или UEFI, и даже внедряться в сам микропроцессор;
-
блокируют диск полностью, пока не будет выплачен выкуп.
«Если вы контролируете прошивку или сам процессор — вы обойдёте абсолютно любую классическую защиту», — предупреждает Бик.
Примеры из даркнета и перспективы угрозы
Бик также упомянул утечки из переписки группировки Conti, в которых хакеры обсуждали возможность встраивания шифровальщика в UEFI и запуск его до старта ОС, делая защиту бессмысленной. Один из сообщений:
«Мы можем встроить шифровальщик в BIOS, так что даже переустановка Windows ничего не даст. Никакой антивирус этого не увидит».
Что делать?
Хотя уязвимость AMD уже можно закрыть с помощью обновлений микрокода, Бик предупреждает: хакеры уже работают в этом направлении, и массовые атаки — лишь вопрос времени. Он призвал к системной работе над безопасностью на аппаратном уровне:
«В 2025 году мы вообще не должны были бы говорить о вымогательском ПО. Но пока есть уязвимости, слабые пароли и отключённая аутентификация — оно будет жить.»
Подписывайтесь на наш телеграмм канал и читайте новости в удобном формате — https://t.me/occlub_ru