I ransomware possono installarsi anche all'interno del BIOS UEFI

Nel corso degli ultimi anni, il fenomeno ransomware è divenuto una vera a propria piaga su scala planetaria. Questi tipi di malware, che tengono sotto scacco il sistema e, soprattutto, i dati personali degli utenti, sono sempre più diffusi e aggressivi.
Dopo aver preso di mira il sistema operativo, gli sviluppatori di ransomware sono passati a infettare – in alcuni casi – anche il bootloader.
L’ultima “frontiera” sembra essere, a questo punto, addirittura l’infezione del BIOS UEFI.

Un gruppo di esperti, facenti parte del team di Cylance, hanno presentato un ransomware “sperimentale”, sviluppato e utilizzato solamente “in laboratorio”, capace di aggredire il BIOS UEFI sul quale poggiano i sistemi più moderni.

Per il momento i ricercatori si sono concentrati solamente su un paio di schede madri utilizzate dal produttore taiwanese Gigabyte sui suoi mini PC BRIX. Non è affatto escluso, però, che il medesimo procedimento possa essere sfruttato anche altrove.

Come spiegano gli autori del ransomware sviluppato a mero fine di studio, nel caso dei due sistemi a marchio Gigabyte (modelli GB-BSi7H-6500 e GB-BXi7-5775 della serie BRIX) sono state sfruttate due vulnerabilità presenti nel firmware. Esse consentono a un’applicazione non autorizzata di acquisire privilegi più elevati e inserire codice malevolo all’interno della cosiddetta System Management Mode (SMM), una speciale modalità operativa della CPU che permette il caricamento di istruzioni a basso livello.

Le vulnerabilità in UEFI non sono cosa infrequente e possono essere utilizzate da parte dei criminali informatici per installare malware in modo persistente. In questo modo il sistema operativo risulterà di nuovo infettato anche dopo una formattazione e una reinstallazione da zero.

I rootkit che agiscono a livello UEFI già sono una realtà e sono strumenti utilizzati nelle operazioni di cyberspionaggio e di sorveglianza. La stessa Hacking Team, società italiana sviluppatrice di un software per il monitoraggio a distanza, aveva nel suo catalogo un rootkit UEFI che veniva venduto a enti governativi e forze di polizia.

I ricercatori di Cylance sono andati oltre e hanno dimostrato come anche gli sviluppatori di ransomware potrebbero trarre vantaggio dalle “lacune” presenti nei moderni BIOS UEFI.
Anche la rimozione del ransomware non sarebbe semplice perché implicherebbe il flashing di una nuova versione del BIOS, scaricata dal sito ufficiale del produttore della scheda madre.

Gigabyte risolverà entro questo mese il problema di sicurezza scoperto nel firmware del mini PCGB-BSi7H-6500. Non risolverà le falle presenti nel BIOS del sistema GB-BXi7-5775 in quanto il supporto è ormai terminato.

L’unica nota positiva è che un attacco ransomware che mira a modificare il BIOS UEFI non può avere successo su scala globale perché tantissimi sono i modelli di schede madri in circolazione. L’aggressione, quindi, sarebbe giocoforza limitata ad attacchi mirati.

Per approfondire il tema ransomware, suggeriamo la lettura dell’articolo Ransomware: cos’è, come proteggersi e recuperare i file cifrati.