.jpg)
Potremmo essere di fronte a una nuova era per i ransomware. Christiaan Beek, direttore senior per l'analisi delle minacce presso Rapid7, ha sviluppato un codice di prova concettuale per un tipo di ransomware capace di infettare direttamente la CPU del computer. Questo rappresenta un salto evolutivo preoccupante rispetto ai malware tradizionali, poiché aggira completamente i sistemi di sicurezza convenzionali. La scoperta di una vulnerabilità nei processori AMD Zen ha ispirato Beek a esplorare questa possibilità inquietante, dimostrando come un attaccante esperto potrebbe teoricamente manipolare il microcodice dei processori a livello hardware.
L'intuizione è nata dopo che il team di sicurezza di Google ha identificato una falla nei processori AMD, dalla serie Zen 1 fino alla Zen 5, che permette di caricare patch di microcodice non firmate. Sebbene il problema possa essere risolto con aggiornamenti appropriati, simili a quelli utilizzati per risolvere precedenti instabilità nei processori Raptor Lake di Intel, Beek ha colto l'opportunità per esplorare scenari più sinistri. "Provenendo da un background in sicurezza firmware, ho pensato: posso scrivere un ransomware per CPU", ha confessato nell'intervista a The Register, aggiungendo subito dopo di non avere alcuna intenzione di rilasciare pubblicamente questo pericoloso strumento.
Lo scenario peggiore descritto da Beek è inquietante: un ransomware che opera a livello di CPU o firmware bypassa ogni tecnologia di sicurezza tradizionale attualmente disponibile. Il malware potrebbe alterare il microcodice del processore, compromettendo l'intera catena di fiducia del sistema. A differenza dei ransomware convenzionali che crittografano i file a livello software, questo approccio sarebbe praticamente indiagnosticabile con gli strumenti di sicurezza attuali.
Particolarmente allarmanti sono i riferimenti che Beek fa alle comunicazioni trapelate dalla gang Conti, particolarmente attiva nel circuito dei ransomware, nel 2022. Durante una presentazione alla conferenza RSAC, ha evidenziato registrazioni di chat in cui i criminali discutevano di un "proof of concept dove il ransomware si installa all'interno dell'UEFI, così anche dopo la reinstallazione di Windows, la crittografia rimane". Un altro membro del gruppo aveva teorizzato: "Con un firmware UEFI modificato, possiamo attivare la crittografia prima ancora che il sistema operativo si carichi. Nessun antivirus può rilevarlo".
Beek avverte che se i criminali informatici stavano già lavorando su questi exploit alcuni anni fa, è ragionevole supporre che alcuni di essi abbiano continuato a perfezionare queste tecniche. "Puoi scommettere che alcuni di loro diventeranno abbastanza intelligenti a un certo punto e inizieranno a creare queste cose", ha affermato con preoccupazione. La prospettiva di un malware che si nasconde nel firmware o nel processore stesso rappresenta un cambio di paradigma nella sicurezza informatica.
La frustrazione di Beek emerge chiaramente quando afferma che "Non dovremmo parlare ancora di ransomware nel 2025", sostenendo che tutti gli attori coinvolti dovrebbero collaborare per migliorare le fondamenta della sicurezza hardware. Ha inoltre deplorato il fatto che molte violazioni ransomware siano ancora facilitate da vulnerabilità ad alto rischio, password deboli e mancanza di autenticazioni a due fattori, ovvero tutti problemi di base che la comunità della sicurezza informatica sta cercando di risolvere da anni.
L'evoluzione delle minacce informatiche verso il livello hardware potrebbe rappresentare una sfida del tutto inedita per l'industria della sicurezza. I tradizionali approcci di difesa perimetrale e rilevamento basato su firme diventano inefficaci contro malware capaci di annidarsi nei componenti più fondamentali di un sistema informatico. La ricerca di Beek, pur non essendo destinata a scopi malevoli, accende un importante campanello d'allarme sulla necessità di ripensare completamente gli approcci alla sicurezza dei sistemi critici.
