Ultimamente e sempre più in diffusione e con maggiore aggressività, è riuscito a diventare una vera e propria piaga a livello mondiale, stiamo parlando del virus Ransomware. Questo tipo di malware, al giorno d’ oggi, tiene purtroppo sotto controllo l’ intero sistema e minaccia costantemente gli utenti e i loro dati personali.
Il sistema operativo dei vari dispositivi, è il protagonista principale degli attacchi, ma nell’ ultimo periodo, gli sviluppatori dei ransomware, hanno puntato anche il bootloader. La vera novità, infatti, è l’ infezione del BIOS UEFI.
Le vulnerabilità del BIOS UEFI
E’ stato un team di esperti, provenienti dal Cylance, a presentare per la prima volta al mondo, un ransomware del tutto sperimentale, sviluppato e utilizzato soltanto per scopi di studio in laboratorio. Questo virus sperimentale, ha come capacità quella di aggredire direttamente il BIOS UEFI, ovvero l’ interfaccia del firmware dove vengono installati i più moderni sistemi operativi. Al momento, gli esperimenti si sono focalizzati maggiormente su due sole schede madri, ovvero quelle che vengono montate nei PC mini di BRIX della casa taiwanese Gigabyte. Non bisogna escludere che, probabilmente, lo stesso procedimento potrebbe essere utilizzato anche altrove.
I modelli precisi delle schede madri, che sono state prese in esame, sono precisamente BG – Bxi7 – 5775 e GB – Bsi7H – 6500 prese dalla serie BRIX. Gli studiosi hanno spiegato che per gli esperimenti, sono stati utilizzati due vulnerabilità che erano già presenti nel firmware. Queste vulnerabilità, permettono a un’ applicazione precisa di ricevere privilegi molto elevati che consentirà quindi d’ inserire il codice malevolo nella System Management Mode (SMM), cioè la speciale modalità operativa della CPU, che rende possibile il caricamento delle istruzioni a basso livello.
Le vulnerabilità del BIOS UEFI, purtroppo, non sono così rare, e proprio per questo motivo i criminali informatici, possono utilizzarle per poter installare il malware in maniera persistente. In questo modo, sarà nuovamente infettato il sistema operativo, anche dopo aver eseguito la formattazione e reinstallazione da zero.
I Rookit agiscono a livello UEFI, e sono già presenti, poiché questi sono gli strumenti che vengono usati per le varie operazioni di cyberspionaggio e sorveglianza. Diverso tempo fa, anche l’ Hacking Team, società italiana di sviluppo di un software particolare di monitoraggio a distanza, aveva messo a disposizione sul proprio catalogo un rookit UEFI, successivamente acquistato dagli enti del governo e dalle forze di polizia.
Il gruppo di Cylance, ha inoltre fatto chiarezza sul vantaggio dei vari sviluppatori di ransomware, che possono avere grazie alle lacune dei più moderni BIOS UEFI. C’ è da dire poi, che la rimozione del virus, non è nemmeno molto semplice, poiché questo implicherebbe di eseguire il flashing di una nuova versione del BIOS.
