/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/05/ransomware-cpu-amd-ryzen.jpg "Ransomware a livello CPU: minaccia invisibile che sfugge a ogni difesa. Quanto c'è di vero?")
I moderni processori sono entità complesse governate da un microcodice (microcode), una sorta di firmware integrato che traduce le istruzioni di alto livello in operazioni di basso livello eseguibili direttamente sull’hardware. Tradizionalmente, solo i produttori di CPU hanno la possibilità di aggiornare o modificare questo microcodice, per ottimizzare le prestazioni o correggere falle di sicurezza.
Tuttavia, una vulnerabilità identificata nei processori AMD Zen (dalla prima alla quinta generazione) ha mostrato che, in condizioni particolari, un attaccante con conoscenze avanzate potrebbe caricare microcodici non firmati, aprendo la strada a modifiche arbitrarie nel comportamento del processore. Google, nel corso delle sue ricerche, ha persino dimostrato la possibilità di alterare l’algoritmo di generazione dei numeri pseudo casuali del processore, facendogli restituire sempre lo stesso numero. Ne avevamo dato notizia in un altro articolo presentando ZenTool, il software Google che modifica il microcodice dei chip AMD Ryzen.
Ransomware su CPU: un attacco invisibile
Christiaan Beek, Director of Threat Analytics presso Rapid7, spiega che il bug scoperto nei chip AMD Zen e battezzato EntrySign, gli ha suggerito l’idea che un aggressore esperto potrebbe in teoria consentire il caricamento in hardware di microcodici non approvati, violando la crittografia e modificando a piacimento il comportamento della CPU.
Invece di agire a livello di sistema operativo o firmware UEFI, i criminali informatici possono arrivare a sviluppare una nuova tipologia di malware, una sorta di ransomware ancora più evoluto, in grado di insinuarsi direttamente nella microarchitettura del processore. Con due vantaggi fondamentali, dal punto di vista dei malintenzionati:
- Immunità ai controlli di sicurezza tradizionali. Antimalware, antivirus e sistemi EDR (Endpoint Detection and Response) non possono ispezionare o intercettare ciò che risiede all’interno del microcodice.
- Persistenza avanzata. Un ransomware funzionante a livello di CPU sopravvivrebbe a reinstallazioni del sistema operativo e perfino a molte operazioni di reset del firmware.
Dal concetto alla realtà: precedenti e segnali preoccupanti
Rapid7 è una società leader nel settore della cybersecurity, specializzata nella gestione delle vulnerabilità, nel rilevamento e risposta alle minacce, e nella sicurezza informatica in generale. È considerata un punto di riferimento per migliaia di clienti in tutto il mondo, inclusi più della metà delle aziende Fortune 100, grazie alla sua tecnologia avanzata e al supporto esperto.
C’è quindi da fermarsi e riflettere se un tecnico come Beek sottolinea che non si tratta di pura teoria.
I membri del gruppo ransomware Conti, nelle chat trapelate nel 2022, discuteva apertamente dello sviluppo di ransomware persistente lato UEFI, con capacità di attivazione prima del caricamento del sistema operativo e resistenti anche alla formattazione.
Frasi come “possiamo attivare la cifratura prima che l’OS venga caricato. Nessun antivirus può rilevarlo” oppure “controlliamo il BIOS e carichiamo un nostro bootloader che blocca l’accesso finché non viene pagato il riscatto” sono indicative di un interesse crescente verso le tecniche di attacco a livello firmware.
La sicurezza hardware è la nuova priorità
Secondo Beek, il vero problema è che il settore non ha ancora consolidato le basi della sicurezza informatica, nonostante i progressi tecnologici. “Dovremmo aver superato il problema del ransomware nel 2025”, afferma. “E invece siamo ancora qui, con sistemi bucati per password deboli, MFA assente o mal configurata e vulnerabilità note mai corrette”.
L’industria spende enormi risorse nell’innovazione ma trascura le buone pratiche di base relativamente alla sicurezza informatica. Così, il fianco resta spesso scoperto ad exploit devastanti, come quelli a livello microcodice o firmware, che potrebbero avere un impatto sistemico su larga scala.
Codice proof-of-concept già pronto: il ransomware su CPU è servito
Beek rivela di aver scritto codice proof-of-concept funzionante che di fatto apre le porte a un ipotetico ransomware capace di nascondere la sua presenza nel processore del computer. “Certo, non lo pubblicheremo, ma è affascinante, vero?”, osserva l’esperto.
Al momento, non ci sono casi documentati di ransomware attivi che operano in modalità microcodice su CPU, ma il proof-of-concept di Beek dimostra che è uno scenario più che fattibile. La combinazione tra vulnerabilità hardware, firmware non firmati e tecniche avanzate di persistenza rappresenta una minaccia reale per l’intera infrastruttura IT moderna.
Le contromisure suggerite
- Installazione tempestiva dei microcodici forniti dai produttori.
- Blocco della scrittura non autorizzata nel firmware (BIOS/UEFI).
- Implementazione rigorosa di Secure Boot e validazione della catena di avvio.
- Monitoraggio delle anomalie hardware a livello basso, tramite strumenti di telemetria avanzata.
Credit immagine in apertura: AMD
/https://www.ilsoftware.it/app/uploads/2025/05/vulnerabilita-processori-intel-Branch-Privilege-Injection.jpg "La nuova frontiera degli attacchi speculativi alle CPU Intel: Branch Privilege Injection")
/https://www.ilsoftware.it/app/uploads/2025/05/AMD-EPYC-4005-lancio.jpg "AMD EPYC 4005 Grado: processori Zen 5 per server entry-level, cloud e PMI")
/https://www.ilsoftware.it/app/uploads/2025/04/wp_drafter_476795.jpg "Come sarà il potentissimo MediaTek Dimensity 9500")
/https://www.ilsoftware.it/app/uploads/2025/04/arm-40-anni-300-miliardi-chip.jpg "40 anni fa il primo chip ARM: da allora diffusi oltre 300 miliardi di esemplari")