Um ransomware destrói seus dados, é verdade. Apesar disso, pode ser que reste um backup. Ou que os dados nem sejam tão importantes, de modo que uma reinstalação do sistema e dos aplicativos resolva tudo. Mas e se o malware destruir o firmware do seu servidor, do seu notebook, do seu desktop? É isso o que está sendo buscado nos ataques mais recentes lançados pela botnet Trickbot: os desenvolvedores dessa botnet criaram um módulo que pode pesquisar vulnerabilidades na UEFI (Extensible Firmware Interface) – a interface entre o sistema operacional e o firmware que controla as funções de baixo nível do hardware.
Veja isso
Firmware não assinado continua sendo brecha em sistemas
Atualização grava malware na BIOS
Uma interferência no firmware pode ser feita de tal modo que torne a máquina virtualmente inútil – será preciso em geral obter recursos com técnicos ou com o fabricante para restaurar seu funcionamento. Isso associado a um ransomware pode representar um dos piores cenários em termos de prejuízo num ataque cibernético.
Especialistas da Advanced Intelligence (AdvIntel) e da Eclypsium estudaram esse ataque e apresentaram num relatório conjunto os detalhes técnicos do novo componente TrickBot. Até o momento, a verificação de UEFI é feita apenas nas plataformas Intel (Skylake, Kaby Lake, Coffee Lake e Comet Lake). O novo módulo verifica se a proteção contra gravação UEFI / BIOS está ativa usando o driver RwDrv.sys de RWEverything (um utilitário gratuito que fornece acesso aos componentes de hardware).
De acordo com os pesquisadores, a proteção contra gravação da BIOS / UEFI está disponível em sistemas modernos, mas esse recurso geralmente não está ativo ou está configurado incorretamente, permitindo que invasores modifiquem o firmware ou removam-no para bloquear o dispositivo.
Com acesso ao firmware pela UEFI, um invasor pode definir sua permanência em um computador comprometido, evitando a reinstalação do sistema operacional ou a substituição de unidades. O código malicioso embutido no firmware é invisível para as soluções de segurança em execução no sistema operacional, porque ele é carregado na inicialização do computador. Esse código permite controlar todo o processo de inicialização. Como o código é executado em um estágio muito inicial, o mecanismo de inicialização segura não ajuda, pois depende da integridade do firmware.
Com agências internacionais
