Egy kiberbiztonsági szakértő, Christian Beek, aki a Rabid7 névre keresztelt biztonsági cég igazgatója, egy érdekes veszélyre hívta fel a figyelmet a The Register munkatársainak adott interjújában: szerinte rövidesen eljön az az idő, amikor a zsarolóvírusok a processzor szintjén dolgozhatnak, ezáltal a tradicionális védelmi szoftverek nem tudják majd felismerni és ártalmatlanítani őket. Az is előfordulhat, hogy az új generációs zsarolóvírusok a teljes meghajtóhoz való hozzáférést lezárják addig, míg a célszemély ki nem fizette a kért váltságdíjat – és persze továbbra sem lesz garancia arra, hogy a váltságdíj kriptovalutában történő kifizetését követően ismét hozzáférhet a delikvens a fájljaihoz.

A szakértő azután gondolkodott el egy CPU szinten működő zsarolóvírus kifejlesztésének lehetőségén, miután fény derült arra, hogy az AMD háza táján a ZEN 1-től ZEN 4-ig terjedő architektúrákban olyan bugot találtak, ami lehetővé teszi aláíratlan mikrokód patchek alkalmazását, és később kiderült, a ZEN 5-ös architektúra sem mentes a hibától. Azóta ezeket a hibákat már javították az AMD szakemberei egy friss mikrokód segítségével, ahogy az Intel háza táján is efféle módszerrel javították a Raptor Lake és a Raptor Lake Refresh processzorok instabilitását okozó bugot, ami néhány napja még vetett egy újabb hullámot.

A mikrokód-kezeléshez kapcsolódó bug alapján az az ötlete támadt a szóban forgó szakembernek, hogy a támadók igazából készíthetnének is mikrokód-alapú kártékony kódot, legalábbis elméletben, ezzel megtörve az adattitkosítást hardver szintjén, illetve szükség szerint módosítva a processzor működését is. Beek elég komoly háttérrel rendelkezik firmware biztonság terén, pont ezért fordult meg a fejében a fentebb részletezett támadási forma elméleti lehetősége, sőt, némi töprengés után úgy gondolta, tud is olyan működő példakódot írni, ami a processzor szintjén működő zsarolóvírus megvalósíthatóságát igazolja.

A gondolatot tett követte, készített is egy olyan példakódot, ami „el tud bújni a processzor fedélzetén”, ám ígéretet tett rá, sehol sem fogja közzétenni munkáját, nehogy ezzel konkrét ötletet adjon a kiberbűnözőknek. Az efféle támadási forma egyébként lehetőséget biztosít a zsarolóvírus processzor szintjén történő működésére, képes a mikrokódot is módosítani, és ha ez a kártékony kód a processzor vagy a firmware fedélzetére bekerül, akkor az összes jelenlegi védelmi mechanizmust nevetve meg tudja kerülni, lényegében semmi sem védhet ellene. Azt még érdemes megemlíteni, hogy ahhoz, hogy a mikrokód a processzor fedélzetére kerüljön, a firmware-en keresztül kell bekerülnie oda a rendszer indításakor – a ZEN bug esetében konkrétan elhangzott többször is, hogy a CPU mikrokódja minden rendszerindításkor újbóli betöltést igényel, és valószínűleg az Intelnél is ez a helyzet.

A helyzet azért is aggasztó, mert Beek állítása szerint a Conti zsarolóvírus-csoport, amely 2022-ben tűnt fel a színen, már akkoriban arról beszélt, hogy UEFI-be rejtett zsarolóvíruson dolgoznak, ami akkor is hatásos marad, ha a Windowst újratelepítik. Azt is kifejtették, hogy ezzel a módszerre a fájlok titkosítása még azelőtt elvégezhető, mielőtt az operációs rendszer betöltődne, vagyis semmiféle biztonsági szoftver nem tudna ezzel mit kezdeni. Egy másik hacker el is gondolkodott, milyen lenne, ha teljes kontrolljuk lenne a BIOS felett, saját bootloadert tudnának telepíteni, ami lezárja a meghajtókat addig, míg a delikvens ki nem fizeti a váltságdíjat a fájljaiért.

A fenti ötlete kommentek formájában születtek néhány éve, azóta aktívan dolgozhatnak a CPU szintjén működő zsarolóvírusokon, és Beek szerint biztosak lehetünk benne, hogy idővel elég okosak lesznek a próbálkozók ahhoz, hogy el is készítsék a zsarolóvírusok következő generációját.

Beek szerint 2025-ben már nem kellene a zsarolóvírusokról beszélni, szerinte mindenkinek, aki szerepet vállal az iparágban, össze kéne fognia azért, hogy megjavítsák a hardveres biztonság alapjait. Azzal kapcsolatban is sajnálatát fejezte ki, hogy mennyi zsarolóvírus-támadás hátterében állnak gyenge jelszavak, a hitelesítés hiánya, illetve az alábecsült magas kockázatú sebezhetőségek, valamint egyebek – amelyek ellen némi odafigyeléssel tenni lehetne.