• New Page 1

    RSSFacebookInstagramTwitterYouTubeYouTubeYouTubeYouTubeYouTubeYouTubeYouTube  

    AGÊNCIA JF | Social - Repositório

Pesquisador cria ransomware que infecta CPUs e inutiliza proteções atuais

por | |

Um pesquisador de segurança da Rapid7 desenvolveu a primeira prova de conceito de um ransomware capaz de se instalar diretamente no processador (CPU) de um computador, tornando-se praticamente indetectável e persistente mesmo após a reinstalação completa do sistema operacional. Christiaan Beek, diretor sênior de análise de ameaças da empresa, demonstrou que é possível modificar o microcódigo do processador para executar código malicioso no nível mais profundo do hardware, criando um cenário que ele próprio descreve como “o pior possível”.

  • Hacker quebra criptografia do ransomware Akira usando GPUs GeForce RTX 4090
  • Novo ransomware usa BitLocker para criptografar e bloquear dados de empresas

Diferente dos ataques de ransomware convencionais, que infectam sistemas operacionais ou aplicativos, esta nova abordagem ataca o principal componente de qualquer computador. A ameaça é extremamente alarmante porque as soluções de segurança atuais simplesmente não foram projetadas para detectar ou impedir alterações maliciosas no nível do processador, deixando empresas e usuários completamente vulneráveis a um tipo de ataque que persiste mesmo após trocar componentes como memória RAM, armazenamento ou até mesmo formatar o PC.

Nos últimos anos, o ransomware evoluiu de simples programas que criptografavam arquivos para operações sofisticadas que também roubam dados sensíveis antes da criptografia, em ataques conhecidos como dupla extorsão. Agora, com a possibilidade de um ataque a nível de hardware, estamos diante de uma evolução ainda mais perigosa que poderia tornar os métodos de proteção atuais obsoletos da noite para o dia.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Inspiração por trás do ransomware de CPU

A ideia para desenvolver esta prova de conceito surgiu quando Beek tomou conhecimento de uma falha de segurança crítica nos processadores AMD Zen. A vulnerabilidade, documentada inicialmente pelo time de segurança do Google, permite que invasores altamente qualificados carreguem microcódigo não-autorizado em processadores, quebrando a criptografia a nível de hardware e modificando o comportamento da CPU à vontade.

Prova de conceito explora falha de segurança que permite carregar microcódigo não-autorizado em CPUs AMD Ryzen (Imagem: Reprodução)

“Vindo de um background em segurança de firmware, eu pensei:  acho que posso escrever um ransomware para CPU”, explicou Beek em entrevista ao The Register. O pesquisador não apenas teorizou sobre a possibilidade, mas efetivamente escreveu um código funcional que demonstra como esse tipo de ataque poderia ser executado na prática.

Esta vulnerabilidade afeta uma ampla gama de processadores, desde o AMD Zen 1 até o Zen 5, embora possa ser corrigida com atualizações de microcódigo. O problema é que, uma vez que um atacante consiga implantar um ransomware no nível do processador, a própria infraestrutura de atualização pode ser comprometida.

Como funciona o ransomware de CPU

O conceito desenvolvido por Beek explora a camada de microcódigo dos processadores, um nível intermediário entre as instruções de máquina e o hardware propriamente dito. Normalmente, apenas fabricantes como AMD e Intel têm autorização para fornecer atualizações de microcódigo, que são usadas para melhorar o desempenho ou corrigir falhas de segurança.

O ransomware de CPU manipula essa camada de microcódigo para implantar código malicioso que sobrevive a praticamente qualquer método convencional de recuperação de sistema. Uma vez instalado, o malware poderia criptografar dados ou bloquear o acesso ao sistema em um nível tão fundamental que tornaria impossível a remoção sem substituir fisicamente o processador.

O pesquisador demonstrou o potencial da técnica modificando a instrução RDRAND (Read Random), normalmente usada para gerar números aleatórios para criptografia. Essa modificação permite que o malware comprometa a segurança do sistema desde sua inicialização, antes mesmo que o sistema operacional seja carregado.

Diferentemente dos ransonwares tradicionais, prova de conceito descreve uma nova ameaça que se perpetuaria mesmo após troca de componentes e formatação do sistema operacional (Imagem: Reprodução/Luma Photon)

Por que esse tipo de infecção é muito mais grave

Os ataques de ransomware tradicionais, embora prejudiciais, normalmente operam no nível do sistema operacional ou aplicativos. Isso significa que, com backup adequado e ferramentas de recuperação, os sistemas podem ser restaurados após uma infecção.

Um ransomware no nível de CPU é uma ameaça muito diferente por três razões principais:

  1. Ele é praticamente indetectável por ferramentas de segurança convencionais, que não foram projetadas para monitorar alterações no microcódigo do processador. Como explicou Beek, “se você está na CPU ou no firmware, você vai contornar absolutamente toda tecnologia tradicional que temos por aí”
  2. Sua persistência é quase absoluta. Mesmo que o usuário formate o armazenamento, reinstale o sistema operacional ou substitua componentes como memória RAM e SSDs, o ransomware continuaria presente no sistema
  3. A remoção exigiria intervenção física para substituir o processador, um procedimento significativamente mais complexo e caro do que as medidas de recuperação convencionais, especialmente em ambientes corporativos com centenas ou milhares de dispositivos.

Riscos para usuários, empresas e data centers

Para usuários comuns, um ataque de ransomware em nível de CPU poderia significar a perda permanente de acesso aos seus dispositivos. Diferente dos ataques convencionais, onde pelo menos existe a possibilidade de recuperação através de formatação, um usuário afetado por este tipo de malware enfrentaria a necessidade de substituir fisicamente o processador, um procedimento que muitos consumidores não têm capacidade técnica ou financeira para realizar.

Para empresas, o impacto seria devastador. Imagine um cenário onde centenas ou milhares de computadores em uma organização são simultaneamente infectados. O custo para substituir os processadores de toda uma infraestrutura de TI seria astronômico, sem contar o tempo de inatividade e a perda de produtividade durante o processo de recuperação.

Os data centers enfrentariam talvez o pior cenário. A infecção de servidores em data centers poderia afetar simultaneamente milhares de empresas que dependem desses serviços. Além disso, a alta densidade de servidores e o ambiente crítico tornam a substituição em massa de processadores um pesadelo logístico e financeiro, podendo resultar em tempos de inatividade prolongados para serviços essenciais e indispensáveis.

Consequências severas

Se ataques de ransomware em nível de CPU se tornarem realidade, as consequências seriam profundas para todo o ecossistema de cibersegurança. Ferramentas e estratégias de segurança desenvolvidas há décadas poderiam se tornar obsoletas da noite para o dia, forçando uma reestruturação completa de como pensamos a proteção digital.

As evidências sugerem que essa possibilidade não é meramente teórica. Beek mencionou que, em 2022, vazamentos de conversas do grupo de ransomware Conti já indicavam que seus desenvolvedores estavam trabalhando em ransomware de firmware. Um dos trechos vazados dizia: “Estou trabalhando em uma prova de conceito onde o ransomware se instala dentro do UEFI, então mesmo depois de reinstalar o Windows, a criptografia permanece”.

Novo tipo de ransonware que infecta CPUs acabaria com a eficácia de todas as ferramentais de detecção atuais (Imagem: Reprodução/DCStudio)

Outro comentário revelador afirmava: “Se modificarmos o firmware UEFI, podemos acionar a criptografia antes mesmo de o sistema operacional carregar. Nenhum antivírus pode detectar isso”.

Embora Beek afirme não ter encontrado amostras ativas desse tipo de malware, ele alerta: “Se eles trabalharam nisso há alguns anos, pode apostar que alguns deles ficarão inteligentes o suficiente em algum momento e começarão a criar esse tipo de coisa“.

A frustração do pesquisador é evidente quando ele afirma: “Não deveríamos estar falando sobre ransomware em 2025”. Após mais de uma década lutando contra esse tipo de ameaça, o setor de cibersegurança ainda não conseguiu resolver problemas básicos que permitem a proliferação desses ataques.

O mais preocupante é que, enquanto a indústria discute tecnologias como IA e aprendizado de máquina, vulnerabilidades de alto risco, senhas fracas e falhas na implementação de autenticação multifator continuam sendo as principais portas de entrada para atacantes. Como ressalta Beek, “gastamos muito do nosso tempo e dinheiro como indústria em inovação, mas, ao mesmo tempo, nossa higiene cibernética não está melhorando”.

Leia mais no Canaltech

  • Novas contas da Microsoft são criadas sem senha por padrão; entenda a mudança
  • Usa Linux? Cuidado, ataques ClickFix agora estão mirando em você
  • App de banco mais seguro: 5 ajustes para deixar sua conta protegida

Leia a matéria no Canaltech.

Adicionar aos favoritos o Link permanente.