Ransomware en CPU, la nueva frontera en ciberataques

El director de análisis de amenazas de la empresa de ciberseguridad, Rapid7, ha desarrollado una prueba de concepto para un ransomware en CPU que podría atacar los procesadores actuales eludiendo todos los métodos tradicionales de detección.

El Ransomware es junto al Phishing la mayor amenaza de la ciberseguridad mundial. Un ataque informático que infecta un ordenador personal, smartphone (o cualquier dispositivo electrónico) con el objetivo de bloquear su funcionamiento y/o acceso a una parte o a todo el equipo. Especialmente preocupante es el aumento del ransomware en empresas y organizaciones, con ataques que comprometen la integridad de los sistemas de una organización, sino que también pone en riesgo su capacidad operativa.

Ransomware en CPU

Si la mayoría de infecciones por ransomware se producen porque el usuario abre una aplicación o un programa malintencionado la idea de una infección oculta directamente en la unidad de proceso de las computadoras tiene una peligrosidad extrema.

En una entrevista con The Register, el director senior de análisis de amenazas de Rapid7, Christiaan Beek, reveló que un error en el chip AMD Zen le dio la idea de que un atacante altamente capacitado podría, en teoría, «permitir que esos intrusos carguen microcódigo no aprobado en los procesadores, rompiendo el cifrado a nivel de hardware y modificando el comportamiento de la CPU a voluntad«.

Normalmente, solo los fabricantes de chips pueden proporcionar el microcódigo correcto para sus CPU, lo cual podría utilizarse para mejorar el rendimiento o corregir fallos. Si bien es difícil para terceros descubrir cómo escribir un nuevo microcódigo, no es imposible y en el caso del fallo de AMD, Google demostró que podía inyectar microcódigo para que el chip siempre eligiera el número 4 al solicitar un número aleatorio.

Beek pensó que esa era la idea as seguir y escribió el código de una prueba de concepto para conseguir el Ransomware en CPU, un sueño para cualquier ciberdelincuente. Según el investigador sería un escenario terrorífico, por la posibilidad de alteración de microcódigo eludiendo todas las tecnologías tradicionales de detección disponibles.

Aunque el investigador no va a difundir públicamente este desarrollo, el riesgo, si bien bajo por ahora, no es solo teórico y hay indicios de que los delincuentes están avanzando hacia ese objetivo desde los primeros bootkits UEFI que datan de 2018. Los más avanzados como BlackLotus, se vende como kit en foros de hacking por 5.000 dólares y destaca por ser el primero conocido con capacidad para omitir el arranque seguro de Windows.

Una gran amenaza para el panorama informático teniendo en cuenta que es capaz de eludir las defensas de seguridad incluso cuando estén habilitadas en las BIOS/UEFI. El Ransomware en CPU sería un nuevo salto de nivel, eludiría el Arranque Seguro e incrustaría malware en el firmware, sobreviviendo a los reinicios del sistema operativo.

El investigador aprovecha esta prueba de concepto para lanzar un mensaje a la comunidad y pedir centrarse en mejorar los fundamentos en ciberseguridad. «No deberíamos estar hablando de ransomware en 2025, y la culpa es de todos», asegura.«Presenciamos mucha evolución tecnológica, todo el mundo habla de agentes, IA, ML. Y, siendo sinceros, aún no hemos sentado las bases».

«Como industria, dedicamos mucho tiempo y dinero a la innovación, pero al mismo tiempo nuestra ciberseguridad no mejora«, concluye.