Бдителността спрямо рансъмуерa не е новост. Рансъмуер атаките могат да причинят сериозни щети и често водят до необратима загуба на данни, ако не са налични ефективни процедури за възстановяване. Много оператори на рансъмуер се опитват да изтрият shadow копия и други методи за възстановяване, което прави нуждата от резервни механизми критична. Ситуацията обаче става още по-сериозна с появата на т.нар. микрокодов рансъмуер. Ако микрокодът, работещ в малката памет на вашия процесор, бъде компрометиран, възстановяването става изключително трудно, тъй като заплахата може да устои дори и на рестартиране — нещо, което доскоро се смяташе за почти невъзможно.

Наскоро изследовател по сигурността демонстрира, че е възможно да се модифицира UEFI фърмуер чрез инсталиране на неподписан пач директно в процесора. Този подход заобикаля традиционните антивирусни решения и защитните механизми на операционните системи. Макар все още да няма потвърдени случаи на рансъмуер, работещ на ниво процесор в реална среда, важно е да се разбере как действа потенциалната заплаха и кои защитни механизми могат да бъдат ефективни.

Как работи рансъмуер атака на ниво микрокод
В доказателство на концепцията, публикувано преди няколко седмици, изследовател успява да осъществи рансъмуер атака директно в микрокода на процесора. Това разкрива слабо проучен вектор, който може да означава нова ера в еволюцията на зловредния софтуер. Атаката експлоатира уязвимост в процесорите AMD Zen (от първо до пето поколение), която позволява зареждане на непроверен микрокод без необходимата сигнатура. Проверката на сигнатурата е основен защитен механизъм, използван от операционните системи за откриване на неоторизирани промени в критични компоненти като bootloaders. Тъй като микрокодът контролира основното поведение на процесора, неговата промяна може да има сериозни последици за работата на системата.

Тази уязвимост беше идентифицирана от Google, която откри грешка в алгоритъма за валидиране на сигнатури на AMD и демонстрира обхвата ѝ чрез практически тест. В този тест изследователите модифицираха микрокода така, че да манипулира функцията за генериране на случайни числа от процесора. В резултат CPU-то винаги връщаше числото 4, независимо от контекста. Въпреки че примерът изглежда тривиален, той доказва, че е възможно да се манипулират основни вътрешни процеси на чипа. В реален сценарий това би могло да се използва за компрометиране на чувствителни изчисления, като генериране на криптографски ключове, проверка на цифрови подписи или манипулиране на алгоритми за системна цялост.

Все още тази техника за зловредна манипулация на микрокод се изследва главно в лабораторна среда. Въпреки това резултатите сочат към вектор, който трябва да се включи в бъдещите защитни стратегии. В тази връзка си струва да обмислим как бихме могли да открием такъв тип рансъмуер, ако се появи в реална атака.

Анализът на аномално поведение и корелацията на събития в цялата инфраструктура са ключови. Използването на инструменти, които събират информация от различни нива на системата — крайни точки, мрежи, сървъри и облачна инфраструктура — осигурява цялостна картина и позволява откриване на модели на дейност, които традиционните механизми може да пропуснат.

Подходите за разширено откриване и реакция (XDR) имат съществена роля в тази посока. Комбинирането на поведенчески анализ, мониторинг на латерално движение в мрежата и автоматизирана реакция на подозрителна активност помага на организациите да идентифицират сигнали, които може да са свързани с рансъмуер атака. Това укрепва многослойната стратегия, която е ключова при заплахи, въздействащи на хардуерно ниво.

Развитието на зловреден код на ниво CPU въвежда ново измерение в рансъмуер атаките. Докато пейзажът на киберзаплахите продължава да се развива, е от решаващо значение организациите да подобряват способностите си за откриване, превенция и реакция с цел минимизиране на нововъзникващите рискове.