Ransomware hiện tại đã là một vấn đề nghiêm trọng, nhưng nó đang có nguy cơ trở nên tồi tệ hơn nhiều. Mọi chương trình và biện pháp bảo mật hiện có của bạn đều có thể trở nên vô dụng khi mã độc tống tiền (ransomware) nhắm vào chính Bộ vi xử lý (CPU) của bạn.
Ransomware có thể khóa cứng CPU của bạn như thế nào?
Thông thường, ransomware sẽ khóa các tập tin hệ thống và tài liệu khác trong hệ điều hành, khiến máy tính của bạn gần như không thể sử dụng được. Tuy nhiên, ransomware CPU lại hoạt động ở một cấp độ sâu hơn: nó thay đổi microcode của bộ vi xử lý, từ đó thay đổi hoàn toàn hành vi của CPU.
Microcode (mã vi) là phần firmware cấp thấp nằm trong CPU, chịu trách nhiệm điều khiển các hoạt vi cấu trúc cơ bản của chip. Chỉ các nhà sản xuất chip như AMD hoặc Intel mới có thể cung cấp microcode cho các bộ vi xử lý tương ứng của họ. Microcode này được nạp sẵn từ nhà máy và có thể nhận được các bản cập nhật sau này để cải thiện hiệu suất, độ ổn định hoặc sửa lỗi. Nếu tin tặc có thể khai thác lỗi firmware CPU để tải microcode độc hại lên bộ vi xử lý của bạn, thì gần như mọi thứ sẽ “game over”.
Bộ vi xử lý Intel Core i9 thế hệ 14 trên tay người, minh họa chip có thể bị tấn công bằng ransomware CPU.
Mặc dù khả năng điều này xảy ra là khá thấp, nhưng nó không còn hoàn toàn là một khả năng lý thuyết nữa. Một bài đăng của nhóm Google Bug Hunters đã trình bày cách họ có thể tiêm microcode tùy chỉnh vào một CPU AMD Zen bằng cách khai thác một lỗi khiến bộ xử lý luôn chọn số bốn mỗi khi được yêu cầu tạo một số ngẫu nhiên.
Tồi tệ hơn, Christiaan Beek, giám đốc cấp cao về phân tích mối đe dọa tại công ty an ninh mạng Rapid7, đã phát triển một bằng chứng khái niệm (proof-of-concept – PoC) hoạt động được, theo The Register. May mắn thay, ông ấy không công khai nó, nhưng khi ý tưởng này đã được tiết lộ, sẽ không mất nhiều thời gian trước khi tin tặc tìm ra cách thực hiện. Theo lời của Beek: “nếu họ đã nghiên cứu nó vài năm trước, bạn có thể chắc chắn rằng một số người trong số họ sẽ đủ thông minh tại một thời điểm nào đó và bắt đầu tạo ra thứ này.”
Có khả năng tin tặc đã và đang nghiên cứu các loại ransomware nhắm vào CPU hoặc firmware. Các UEFI bootkit cho phép tin tặc bỏ qua Secure Boot và tiêm phần mềm độc hại vào firmware của hệ thống đã tồn tại và được bán công khai trên các diễn đàn hacker trong dark web. Beek cũng đề cập đến các trích dẫn từ các cuộc trò chuyện bị rò rỉ trong vụ rò rỉ ransomware Conti năm 2022, cho thấy tin tặc có thể đang làm việc trên các ý tưởng PoC cài đặt ransomware bên trong firmware UEFI của máy tính.
Làm thế nào để tự bảo vệ trước mối hiểm họa này?
Mặc dù các chương trình diệt virus có thể phát hiện các cuộc tấn công ransomware từ sớm và chặn các tiến trình độc hại, nhưng ransomware CPU lại nằm ngoài tầm với của chúng. Nếu một CPU bị nhiễm ransomware, chương trình độc hại sẽ được tải ngay cả trước khi hệ điều hành khởi động, bỏ qua mọi biện pháp bảo mật truyền thống và giành quyền truy cập hoàn toàn vào mọi thành phần của hệ thống.
Tin tốt là bạn chưa cần phải lo lắng ngay lập tức, vì Beek chưa thấy bất kỳ mẫu phần mềm độc hại nào hoạt động trong thực tế. Khó có khả năng tin tặc sẽ tìm ra một khai thác hoạt động được trong ít nhất vài năm tới. Ngay cả khi một khai thác hoạt động được phát hiện, các nhà sản xuất CPU chắc chắn sẽ nhanh chóng vá lỗi và phát hành các bản cập nhật firmware. Hơn nữa, các lỗ hổng CPU ở quy mô này khá hiếm.
Người dùng đang làm việc trên laptop với biểu tượng ransomware, thể hiện nguy cơ mã độc tống tiền đối với dữ liệu và hệ thống.
Bảo mật tốt hơn là một trong những lý do quan trọng để bạn nên cập nhật BIOS cho máy tính của mình. Với mối đe dọa ransomware CPU đang lờ mờ, việc cập nhật BIOS và các driver CPU trở nên quan trọng hơn bao giờ hết. Đơn giản là hãy luôn cập nhật phần mềm, không nhấp vào các email và liên kết ngẫu nhiên, và kiểm tra kỹ trước khi chạy các chương trình tải xuống từ internet, đặc biệt nếu bạn không tin tưởng trang web hoặc người gửi.
Kết luận
Ransomware CPU đại diện cho một bước tiến nguy hiểm trong thế giới an ninh mạng, với khả năng vượt qua các lớp bảo vệ truyền thống. Mặc dù vẫn còn ở giai đoạn lý thuyết và bằng chứng khái niệm, sự phát triển này cảnh báo về một tương lai mà các biện pháp bảo vệ cấp cao nhất cũng có thể bị vô hiệu hóa. Để bảo vệ bản thân và dữ liệu của bạn, việc giữ vững các nguyên tắc bảo mật cơ bản, đặc biệt là cập nhật firmware và phần mềm hệ thống thường xuyên, là vô cùng quan trọng.
Hãy chia sẻ suy nghĩ của bạn về mối đe dọa tiềm tàng từ ransomware CPU và những biện pháp bạn đang áp dụng để bảo vệ thiết bị của mình trong phần bình luận bên dưới!
