No i proszę. Ktoś w końcu uznał, że „klasyczne” ransomware to za mało, więc zrobił coś, co wygląda jak scenariusz odrzucony przez scenarzystów „Black Mirror” za zbyt przerażający.
Christian Bik, badacz z Rapid7, przygotował prototyp ransomware, który nie atakuje Twojego dysku. On wchodzi **prosto w procesor**. Tak, dobrze przeczytałeś. W sam środek cyfrowego mózgu Twojego komputera.
Złośliwy kod działa na poziomie mikrokodu CPU, czyli w miejscu, którego nie przegląda ani system operacyjny, ani żaden program antywirusowy. To tak jakbyś schował wirusa w cieniu własnych myśli – komputer funkcjonuje, ale pod spodem dzieją się rzeczy, o których nie ma pojęcia.
Co gorsza, to nie jest wirus, który możesz po prostu „wyczyścić”. Nie wystarczy sformatować dysk, zainstalować system od nowa, a nawet – o zgrozo – wymienić cały nośnik danych. Zagrożenie siedzi w samym CPU, więc jego obecność przestaje być zależna od tego, co masz na dysku. Zmiana sprzętu też może nie pomóc, jeśli procesor pozostaje ten sam.
Cały ten pomysł narodził się, gdy Bik analizował podatność w architekturze procesorów AMD Zen. Okazało się, że istnieje sposób, by wstrzyknąć niestandardowy mikrokod, zmienić logikę działania procesora i omijać sprzętowe funkcje zabezpieczające. Brzmi skomplikowanie? Bo jest. Ale nie aż tak bardzo, żeby nikt nie potrafił tego powtórzyć.
Nie, to nie jest pierwszy raz, kiedy ktoś próbował majstrować przy sprzęcie. W 2022 r. grupa hakerska Conti rozmawiała na zamkniętych kanałach o podobnym pomyśle. Tyle że, jak dotąd, nie ma publicznych dowodów na to, że komukolwiek udało się coś takiego zrealizować. Bik twierdzi, że to tylko kwestia czasu, bo jeśli wtedy o tym myśleli, to dziś ktoś mógł już dojść do działania.
Zamiast opublikować kod (bo najwyraźniej ma jeszcze resztki sumienia), Bik trzyma swoje dzieło z dala od internetu. Jego zdaniem taki rodzaj ransomware mógłby szybko wymknąć się spod kontroli, a konsekwencje dla firm i instytucji byłyby trudne do ogarnięcia – bo w tym przypadku nie działa żadna z typowych procedur zabezpieczających.
Dane z firmy Veeam Software pokazują, że problem ransomware w ogóle wciąż nie odpuszcza – w ciągu ostatnich 12 miesięcy 75% firm w USA, Europie i Australii zostało zaatakowanych. A to wszystko zanim jeszcze pojawił się ten cud techniki od Bika.
Co z tego wynika? Systemy ochronne, które polegają na skanowaniu plików, backupach, firewallach i innych znanych narzędziach, mogą nie być przygotowane na coś, co działa całkowicie poza ich zasięgiem. W tej sytuacji potrzebne będą zupełnie nowe podejścia – takie, które pozwolą analizować także to, co dzieje się na poziomie sprzętu.
Dla użytkowników domowych taki atak może być mało prawdopodobny – bo kto bawi się mikrokodem, żeby zablokować Worda na laptopie z 2014 roku? Ale dla infrastruktury krytycznej, sieci korporacyjnych i systemów przemysłowych – to już realne zagrożenie.
Ransomware, które działa w samym sercu komputera, nie daje się łatwo usunąć, nie zostawia śladów w systemie i może całkowicie przejąć kontrolę nad tym, jak procesor wykonuje swoje zadania. W świecie bezpieczeństwa IT to nowa kategoria problemu. A jeśli ktoś kiedyś powie Ci, że nowoczesny procesor to bezpieczne miejsce… po prostu się zaśmiej.