Han creado el malware definitivo. Tenemos suerte de que lo haya hecho uno de los buenos, o sería una pesadilla

Durante primaveras, el ransomware ha sido una de las mayores amenazas en el ámbito de la ciberseguridad: un malware que sigla archivos en sus discos duros, bloqueando sistemas mientras no se pague un rescate para su libertad. Pero ahora, una nueva y preocupante crecimiento de este concepto empieza a despuntar en el horizonte.

Porque, ¿qué pasaría si ni siquiera reemplazar el disco duro pudiera eliminar una infección? ¿Y si el ransomware pasara a ocultarse directamente en los procesadores, convirtiendo así en inútiles muchas de las herramientas de defensa tradicionales?

Christiaan Beek, investigador de la firma de ciberseguridad Rapid7, ha desarrollado un prototipo práctico que demuestra que este escena, hasta ahora meramente teórico, es posible: su trabajo marca un antaño y un posteriormente en la forma en que entendemos y combatimos el malware.

¿Qué es el microcódigo y por qué importa?

Los procesadores modernos funcionan con la ayuda de microcódigo, un tipo de firmware que actúa como una capa intermedia entre el hardware y el software. Normalmente, solo los fabricantes de chips como AMD o Intel pueden modificar este microcódigo, ya que controlar esta capa permite alterar el comportamiento elemental del procesador.

Sin incautación, un parecer en los chips AMD de la clan Zen demostró que es posible inyectar microcódigo solapado si se posee el conocimiento técnico necesario. Y, antaño de eso, Google ya probó que se podía modificar el microcódigo para que el productor de números aleatorios del procesador siempre devolviera el número "4".

El concepto de ransomware a nivel CPU

Inspirado por esta vulnerabilidad, Beek creó un software que puede instalar ransomware directamente en el procesador. Este ransomware:

• Se esconde a nivel de microcódigo.
• Sobrevive al reemplazo del disco duro o la reinstalación del sistema activo.
• Es, en la experiencia, invisible para los antivirus actuales.

Aunque Beek no ha publicado el código ni tiene planes de hacerlo, su prueba de concepto demuestra que esta amenaza es vivo y alcanzable.

Un aventura creciente

Si adecuadamente actualmente este tipo de ataque aún no se ha presenciado 'en el mundo vivo', hay señales preocupantes: las filtraciones del grupo de ransomware Conti en 2022 mostraron que sus desarrolladores estaban explorando ideas similares. Encima, kits de inicio UEFI (aquellos que se instalan en la BIOS), como el famoso rootkit LoJax, ya se han utilizado para alterar el firmware de PCs y resistir incluso formateos completos.

Consecuencias para la ciberseguridad

La existencia de un ransomware a nivel de CPU plantea retos enormes:

• Persistencia extrema: El malware no se poso con métodos tradicionales.
• Invisible para antivirus: Las soluciones actuales no examinan microcódigo.
• Violación total del sistema: En el momento en que el propio procesador está infectado, ningún software puede ya ser fiable.

Beek lo resume así: "Si estás en el CPU o en el firmware, puedes evitar casi toda la tecnología tradicional de defensa".

¿Estamos preparados?

Según Beek, el problema no radica solo en la sofisticación de las amenazas, sino en los fallos básicos en ciberseguridad.

"Seguimos cayendo por delito de contraseñas débiles, de vulnerabilidades sin parchear y de mala configuración de la autenticación multifactor. Eso es frustrante".

Vía | The Register

Imagen | Marcos Merino mediante IA

En Genbeta | Este programador se cansó de los bots que acosaban (y saqueaban) su web. Ha terminado usando un ingenioso malware contra ellos