BlackLotus tilbydes på underjordiske fora som et almægtigt firmware-rootkit, der er i stand til at overleve ethvert fjernelsesforsøg og omgå de mest avancerede Windows-beskyttelser. Selvfølgelig, hvis rigtige prøver af malware (malware) kan bevise, at forslaget er virkeligt.
Et kraftfuldt nyt UEFI-rootkit, der angiveligt er til salg på underjordiske fora, tilbyder avancerede angrebsfunktioner, der tidligere kun var tilgængelige for efterretningstjenester og statssponsorerede trusselsgrupper. BlackLotus, som den ukendte leverandør kaldte malwaren, er et firmware-rootkit, der kan omgå Windows-forsvar for at køre ondsindet kode på det laveste niveau af x86-arkitekturens sikkerhedsringe.
Ifølge sikkerhedsforskere, der opdagede BlackLotus-annoncer på malware-fora, koster en rootkit-brugerlicens op til $5, og efterfølgende kodegendannelse koster "kun" $200. I betragtning af de muligheder, som sælgeren har angivet, er selv at bruge $5k meget lukrativt for cyberkriminelle og hackere over hele verden.
Som sikkerhedsforsker Scott Schaferman fandt ud af, er BlackLotus skrevet på Assembly- og C-sprog, vejer 80 KB og er leverandøruafhængig. Rootkittet byder på beskyttelse af virtuel maskine, fejlfinding og kodesløring for at blokere eller forpurre analyseforsøg, giver "agentbeskyttelse" på kerneniveau (ring 0) til at gemme i UEFI-firmwaren og leveres med en komplet installationsvejledning og FAQ.
Som ethvert andet ordentligt rootkit indlæses BlackLotus i de tidlige stadier af opstartsprocessen før Windows-startfasen. Malwaren kan omgå mange Windows-beskyttelser, herunder Secure Boot, UAC, BitLocker, HVCI og Windows Defender, mens den tilbyder muligheden for at downloade usignerede drivere. Andre avancerede funktioner i malware inkluderer en fuld-funktioneret filoverførselstilstand og en "sårbar signeret bootloader", der ikke kan ugyldiggøres uden at påvirke hundredvis af bootloadere, der stadig er i brug i dag.
Scott Schaeferman fremhæver den fare, BlackLotus kan udgøre for moderne firmware-baseret sikkerhed, og gør et trusselsniveau, der tidligere kun var tilgængeligt for statssponsorerede Advanced Persistent Threats (APT'er), såsom Ruslands GRU eller Kinas APT 41 tilgængeligt for alle. Det nye UEFI rootkit kan være et rigtigt spring fremad for cyberkriminelle med hensyn til brugervenlighed, skalerbarhed, tilgængelighed, modstandsdygtighed, unddragelse og ødelæggelsespotentiale.
UEFI rootkits blev engang betragtet som meget sjældne og specialiserede trusler, men mange opdagelser i løbet af de sidste par år har vist et meget andet scenarie. Hvad angår BlackLotus, bliver sikkerhedssamfundet nødt til at analysere en prøve fra den virkelige verden af malwaren for at afgøre, om de annoncerede funktioner er rigtige, om de er klar til at spredes, eller om det blot er et veludformet svindelnummer.
Du kan hjælpe Ukraine med at kæmpe mod de russiske angribere. Den bedste måde at gøre dette på er at donere midler til Ukraines væbnede styrker gennem Red livet eller via den officielle side NBU.
Også interessant:
- MacPaws SpyBuster beskytter nu mod russiske cybertrusler i browseren
- Google: Russiske hackere oprettede en falsk ukrainsk applikation