Добавить в корзинуПозвонить
Найти в Дзене
OCClub - новости IT и обзоры
3147 подписчиков

Первое в мире процессорное вымогательское ПО: новый класс атак может обойти любую защиту

11
1 мин
Эксперт по кибербезопасности компании Rapid7 Кристиан Бик (Christiaan Beek) представил доказательство концепции (PoC) уникального вымогательского ПО, которое работает не в операционной системе, а на уровне центрального процессора. Это открытие может ознаменовать начало новой эры атак, обходящих любое антивирусное ПО, EDR и традиционные средства защиты. По словам Бика, идею ему подсказала уязвимость в процессорах AMD Zen, позволяющая потенциально загружать неподписанный микрокод в чип — то есть напрямую модифицировать поведение CPU. Эту уязвимость ранее обнаружила команда безопасности Google, и она затрагивает все поколения от Zen 1 до Zen 5. «Я подумал: “Вау, а ведь можно же написать вымогательское ПО на уровне процессора” — и я это сделал», — рассказал Бик в интервью The Register. Новая форма угрозы позволяет злоумышленнику зашифровать данные до загрузки операционной системы, модифицируя UEFI или микрокод CPU. Такие атаки: «Если вы контролируете прошивку или сам процессор — вы обойдёт
Оглавление

Эксперт по кибербезопасности компании Rapid7 Кристиан Бик (Christiaan Beek) представил доказательство концепции (PoC) уникального вымогательского ПО, которое работает не в операционной системе, а на уровне центрального процессора. Это открытие может ознаменовать начало новой эры атак, обходящих любое антивирусное ПО, EDR и традиционные средства защиты.

По словам Бика, идею ему подсказала уязвимость в процессорах AMD Zen, позволяющая потенциально загружать неподписанный микрокод в чип — то есть напрямую модифицировать поведение CPU. Эту уязвимость ранее обнаружила команда безопасности Google, и она затрагивает все поколения от Zen 1 до Zen 5.

«Я подумал: “Вау, а ведь можно же написать вымогательское ПО на уровне процессора” — и я это сделал», — рассказал Бик в интервью The Register.

Что делает эту атаку уникальной

Новая форма угрозы позволяет злоумышленнику зашифровать данные до загрузки операционной системы, модифицируя UEFI или микрокод CPU. Такие атаки:

  • не видны для антивирусов и EDR;
  • переживают переустановку Windows;
  • могут встраиваться в BIOS или UEFI, и даже внедряться в сам микропроцессор;
  • блокируют диск полностью, пока не будет выплачен выкуп.
«Если вы контролируете прошивку или сам процессор — вы обойдёте абсолютно любую классическую защиту», — предупреждает Бик.

Примеры из даркнета и перспективы угрозы

Бик также упомянул утечки из переписки группировки Conti, в которых хакеры обсуждали возможность встраивания шифровальщика в UEFI и запуск его до старта ОС, делая защиту бессмысленной. Один из сообщений:

«Мы можем встроить шифровальщик в BIOS, так что даже переустановка Windows ничего не даст. Никакой антивирус этого не увидит».

Что делать?

Хотя уязвимость AMD уже можно закрыть с помощью обновлений микрокода, Бик предупреждает: хакеры уже работают в этом направлении, и массовые атаки — лишь вопрос времени. Он призвал к системной работе над безопасностью на аппаратном уровне:

«В 2025 году мы вообще не должны были бы говорить о вымогательском ПО. Но пока есть уязвимости, слабые пароли и отключённая аутентификация — оно будет жить.»

Подписывайтесь на наш телеграмм канал и читайте новости в удобном формате — https://t.me/occlub_ru
Кибербезопасность
25,6 тыс интересуются