Der Cybersecurity-Experte Christian Beek, Direktor des Sicherheitsunternehmens Rabid7, wies in einem Interview mit The Register auf eine interessante Gefahr hin: Er glaubt, dass die Zeit bald kommen wird, in der Ransomware auf der Prozessorebene arbeiten kann, so dass es für herkömmliche Schutzsoftware unmöglich ist, sie zu erkennen und zu entschärfen. Es ist auch möglich, dass die neue Generation von Ransomware den Zugriff auf das gesamte Laufwerk blockiert, bis das Ziel das geforderte Lösegeld bezahlt hat - und natürlich gibt es auch dann keine Garantie, dass der Delinquent wieder auf seine Dateien zugreifen kann, wenn das Lösegeld in Kryptowährung bezahlt wurde.

Der Experte zog die Möglichkeit in Betracht, einen Ransomware-Virus auf CPU-Ebene zu entwickeln, nachdem bekannt wurde, dass AMD einen Fehler in den Architekturen ZEN 1 bis ZEN 4 entdeckt hatte, der es ermöglichte, unsignierte Microcode-Patches anzuwenden, und später festgestellt wurde, dass die ZEN 5-Architektur nicht frei von diesem Fehler war. Seitdem wurden diese Fehler von AMD mit einem neuen Mikrocode behoben, genauso wie Intel die gleiche Methode verwendete, um den Fehler zu beheben, der Instabilität in den Raptor Lake und Raptor Lake Refresh Prozessoren verursachte, die vor einigen Tagen eine neue Welle von Problemen verursachten.

Der Microcode-Handling-Bug brachte den besagten Experten auf die Idee, dass Angreifer tatsächlich bösartigen Code auf der Basis von Microcode erstellen könnten, zumindest theoretisch, indem sie die Datenverschlüsselung auf der Hardware-Ebene aufbrechen und den Betrieb des Prozessors nach Bedarf verändern. Beek hat einen ausgeprägten Hintergrund im Bereich der Firmware-Sicherheit, weshalb ihm die theoretische Möglichkeit der oben genannten Angriffsformulierung in den Sinn kam, und nach einigem Nachdenken dachte er, er könne einen funktionierenden Beispielcode schreiben, der die Machbarkeit einer Ransomware auf Prozessorebene demonstrieren würde.

Er verfolgte die Idee weiter, indem er einen Beispielcode erstellte, der sich "an Bord des Prozessors" verstecken könnte, versprach aber, seine Arbeit nirgends zu veröffentlichen, um Cyberkriminellen keine konkrete Vorstellung zu vermitteln. Diese Form des Angriffs ermöglicht es der Ransomware, auf der Ebene des Prozessors zu operieren, den Mikrocode zu verändern und, sobald sie sich auf dem Prozessor oder der Firmware befindet, alle aktuellen Verteidigungsmechanismen zu umgehen, so dass es praktisch keinen Schutz mehr gibt. Es ist auch erwähnenswert, dass der Mikrocode, um auf den Prozessor zu gelangen, über die Firmware beim Booten dorthin gelangen muss - im Fall des ZEN-Bugs wurde wiederholt festgestellt, dass der CPU-Mikrocode beim Booten neu geladen werden muss, und dies ist wahrscheinlich bei Intel der Fall.

Die Situation ist auch deshalb besorgniserregend, weil laut Beek die 2022 aufgetauchte Conti-Ransomware-Gruppe schon damals an einem in UEFI versteckten Ransomware-Virus gearbeitet haben soll, der auch bei einer Neuinstallation von Windows wirksam bleiben würde. Es wurde auch erklärt, dass diese Methode verwendet werden könnte, um Dateien zu verschlüsseln, bevor das Betriebssystem geladen wird, was bedeutet, dass keine Sicherheitssoftware etwas dagegen unternehmen kann. Ein anderer Hacker fragte sich, wie es wohl wäre, die volle Kontrolle über das BIOS zu haben und einen eigenen Bootloader zu installieren, der die Laufwerke sperrt, bis der Täter das Lösegeld für seine Dateien bezahlt hat.

Die oben genannte Idee wurde bereits vor einigen Jahren in Form von Kommentaren geäußert. Seitdem wird aktiv an Ransomware auf CPU-Ebene gearbeitet, und laut Beek können wir sicher sein, dass die Experimentatoren mit der Zeit clever genug sein werden, die nächste Generation von Ransomware zu entwickeln.

Beek ist der Meinung, dass wir im Jahr 2025 nicht mehr über Ransomware sprechen sollten und dass alle Beteiligten in der Branche zusammenarbeiten sollten, um die Grundlagen der Hardwaresicherheit zu verbessern. Er beklagte auch die Zahl der Ransomware-Angriffe, die durch schwache Passwörter, fehlende Authentifizierung, unterschätzte Schwachstellen mit hohem Risiko und vieles mehr verursacht werden - alles Dinge, die mit etwas Aufmerksamkeit angegangen werden könnten.