Mã độc tống tiền (ransomware) hiện tại đã là một vấn đề nghiêm trọng, và nguy cơ này đang có chiều hướng trở nên tồi tệ hơn. Tất cả các chương trình và biện pháp bảo mật hiện có của bạn đều có thể trở nên vô dụng khi mã độc tống tiền nhắm vào bộ vi xử lý (CPU) của bạn. Đây là một hình thức tấn công mới tiềm năng, có khả năng gây thiệt hại khôn lường và thách thức mọi hệ thống phòng thủ truyền thống.
Mã Độc Tống Tiền Có Thể Khóa CPU Hoạt Động Như Thế Nào?
Thông thường, mã độc tống tiền sẽ mã hóa các tệp hệ thống và tài liệu khác trong hệ điều hành của bạn, khiến máy tính gần như không thể sử dụng được. Tuy nhiên, mã độc tống tiền CPU lại hoạt động khác biệt hoàn toàn: nó thay đổi vi mã (microcode) của bộ xử lý, qua đó thay đổi toàn bộ hành vi của CPU.
Vi mã chỉ được cung cấp bởi các nhà sản xuất chip như AMD hoặc Intel cho các bộ xử lý tương ứng của họ. Vi mã này được cài đặt sẵn từ nhà máy và có thể nhận được các bản cập nhật sau này để cải thiện hiệu suất, độ ổn định hoặc khắc phục lỗi. Nếu tin tặc có thể khai thác một lỗ hổng firmware CPU để tải vi mã độc hại lên bộ xử lý của bạn, thì gần như mọi biện pháp bảo mật đều vô hiệu.
Bộ vi xử lý Intel Core thế hệ 14 trên tay minh họa mối đe dọa ransomware tấn công CPU
Mặc dù khả năng điều này xảy ra khá thấp, nhưng nó không còn hoàn toàn là một khả năng lý thuyết nữa. Một bài đăng của Google Bug Hunters đã chứng minh cách họ có thể tiêm vi mã tùy chỉnh vào CPU AMD Zen bằng cách khai thác một lỗi khiến bộ xử lý luôn chọn số bốn mỗi khi được yêu cầu một số ngẫu nhiên.
Để làm cho mọi thứ tồi tệ hơn, Christiaan Beek, giám đốc cấp cao về phân tích mối đe dọa tại công ty an ninh mạng Rapid7, đã phát triển một bản thử nghiệm chứng minh khái niệm (proof-of-concept – PoC) hoạt động được, theo thông tin từ The Register. May mắn thay, ông ấy không công bố nó, nhưng khi ý tưởng này đã được biết đến, sẽ không mất nhiều thời gian để tin tặc tìm ra cách thực hiện. Theo lời của Beek:
“nếu họ đã nghiên cứu nó vài năm trước, bạn có thể cá rằng một số người trong số họ sẽ đủ thông minh tại một thời điểm nào đó và bắt đầu tạo ra những thứ này.”
Có khả năng tin tặc đã và đang phát triển mã độc tống tiền CPU hoặc firmware. Các bộ công cụ khởi động UEFI (UEFI bootkits) cho phép tin tặc bỏ qua Secure Boot và tiêm phần mềm độc hại vào firmware của hệ thống đã tồn tại và được rao bán công khai trên các diễn đàn hack trên dark web. Beek cũng đề cập đến các trích dẫn từ các cuộc trò chuyện bị rò rỉ trong vụ rò rỉ ransomware Conti năm 2022, cho thấy tin tặc có thể đang nghiên cứu các ý tưởng chứng minh khái niệm để cài đặt ransomware vào firmware UEFI của máy tính.
Bạn Có Thể Bảo Vệ Bản Thân Khỏi Mối Đe Dọa Này Không?
Trong khi các chương trình diệt virus có thể phát hiện sớm các lây nhiễm ransomware và chặn các tiến trình hoạt động, mã độc tống tiền CPU lại nằm ngoài tầm kiểm soát của chúng. Nếu CPU bị nhiễm mã độc tống tiền, chương trình độc hại sẽ tải lên ngay cả trước khi hệ điều hành khởi động, bỏ qua mọi biện pháp bảo mật truyền thống và giành quyền truy cập hoàn toàn vào mọi thành phần của hệ thống.
Tin tốt là bạn chưa cần phải lo lắng ngay lập tức, vì Beek chưa thấy bất kỳ mẫu phần mềm độc hại hoạt động nào trong thực tế. Khó có khả năng tin tặc sẽ tạo ra một bản khai thác hoạt động được trong ít nhất một vài năm tới. Ngay cả khi một bản khai thác hoạt động được phát hiện, các nhà sản xuất CPU chắc chắn sẽ nhanh chóng vá lỗi và phát hành các bản cập nhật firmware. Hơn nữa, các lỗ hổng CPU ở quy mô này vốn dĩ khá hiếm.
Bảo mật tốt hơn đã là một trong những lý do chính đáng để bạn cập nhật BIOS của máy tính. Với mối đe dọa mã độc tống tiền CPU đang lờ mờ, việc cập nhật BIOS và driver CPU càng trở nên quan trọng hơn. Hãy luôn cập nhật phần mềm của bạn, không nhấp vào các email và liên kết ngẫu nhiên, và kiểm tra kỹ trước khi chạy các chương trình tải xuống từ internet, đặc biệt là nếu bạn không tin tưởng trang web hoặc người gửi.
Kết Luận
Mặc dù mã độc tống tiền tấn công CPU vẫn còn là một mối đe dọa tiềm ẩn, các nghiên cứu và minh chứng khái niệm từ các chuyên gia bảo mật đã cho thấy khả năng hiện thực của nó. Việc hiểu rõ cơ chế hoạt động của loại mã độc này, từ việc thay đổi microcode đến việc vượt qua các biện pháp bảo mật truyền thống, là rất quan trọng. Hiện tại, chưa có mẫu mã độc CPU nào được phát hiện trong tự nhiên, nhưng người dùng cần chủ động phòng ngừa bằng cách duy trì cập nhật BIOS, firmware và driver CPU. Bên cạnh đó, luôn cảnh giác với các nguồn không tin cậy và thực hiện các nguyên tắc an toàn cơ bản khi sử dụng internet là những biện pháp thiết yếu để bảo vệ hệ thống của bạn khỏi các mối đe dọa công nghệ ngày càng tinh vi.
