E’ diventato una minaccia molto pericolosa e un vero e proprio fenomeno a livello planetario, stiamo parlando del virus ransomware. Si tratta di un tipo di malware in continua diffusione che tiene, attualmente, sotto controllo l’ intero sistema e sotto sequestro i dati più personali degli utenti.
Il sistema operativo è la vittima principale degli attacchi, ma ad oggi, è stato scoperto che, sono stati presi di mira, da parte degli sviluppatori di ransomware, anche il bootloader. Da qui è nata l’ ultima novità, ovvero l’ infezione del BIOS UEFI, ovvero l ‘interfaccia del firmware dove vengono poggiati i nuovi sistemi operativi più recenti.
Un gruppo di esperti del Cylance, ha presentato, ancora in via sperimentale, quindi sviluppato e utilizzato soltanto all’ interno del laboratorio, un tipo di ransomware capace di aggredire il BIOS UEFI. Fin’ ora per gli esperimenti sono state utilizzate soltanto due schede madri, quelle dei mini PC BRIX della Gigabyte, precisamente sono stati presi in esame i modelli BG-BXi7-5775 e GB-BSi7H-6500. Non è da escludere che la stessa procedura può essere riutilizzata su altri dispositivi.
Nel caso delle schede madri studiate, sono state utilizzate due vulnerabilità già preesistenti all’ interno del firmware, hanno spiegato i professionisti del Cylance. Queste determinate vulnerabilità consentono a un’ applicazione di poter inserire un codice malevolo nella System Management Mode (SMM), cioè una speciale modalità operativa della CPU che garantisce l’ azione del caricamento di istruzioni a basso livello.
Le vulnerabilità dei BIOS UEFI, purtroppo, non sono poi così rare. Proprio per questo motivo, vengono, sempre più spesso, utilizzate da criminali informatici per installare in maniera persistente il malware. In questo modo, il sistema operativo, anche dopo effettuata la formattazione e reinstallazione, sarà ancora una volta infettato.
Esistono già degli strumenti che agiscono a livello UEFI, e vengono chiamati rookit, utilizzati maggiormente per le operazioni di cyberspionaggio e sorveglianza. Talmente particolari come dispositivi, che anche l’ Hacking Team, una società italiana sviluppatrice di un sofisticato software di monitoraggio a distanza, aveva messo a disposizione nel proprio catalogo proprio un rookit UEFI, acquistato poi da enti governativi e polizia.
E’ stato dimostrato inoltre, come, anche gli sviluppatori di ransomware, possono trarre vantaggi per alcune lacune dei più moderni BIOS UEFI. Per poter rimuove il virus è necessario effettuare il flashing della nuova versione del BIOS, ed è per questo che non è poi così semplice.
E’ importante, però, fare chiarezza su una cosa, ovvero che gli attacchi malware non hanno successo su tutti i modelli di BIOS UEFI dato che, in commercio, vi sono tantissimi modelli di schede madri diverse.