BlackLotus ditawarkan di forum bawah tanah sebagai firmware rootkit yang sangat kuat yang mampu bertahan dari segala upaya penghapusan dan melewati perlindungan Windows paling canggih. Tentu saja, jika sampel nyata dari malware (malware) dapat membuktikan realitas proposisi.
Rootkit UEFI baru yang kuat dilaporkan untuk dijual di forum bawah tanah menawarkan fitur serangan lanjutan yang sebelumnya hanya tersedia untuk badan intelijen dan kelompok ancaman yang disponsori negara. BlackLotus, sebagai vendor yang tidak dikenal bernama malware, adalah rootkit firmware yang dapat melewati pertahanan Windows untuk menjalankan kode berbahaya pada tingkat terendah dari cincin keamanan arsitektur x86.
Menurut peneliti keamanan yang menemukan iklan BlackLotus di forum malware, satu lisensi pengguna rootkit berharga hingga $5, dan biaya pemulihan kode berikutnya "hanya" $200. Mengingat kemampuan yang terdaftar oleh penjual, bahkan menghabiskan $5k sangat menguntungkan bagi penjahat dunia maya dan peretas di seluruh dunia.
Seperti yang ditemukan oleh peneliti keamanan Scott Schaferman, BlackLotus ditulis dalam bahasa Assembly dan C, beratnya 80 KB dan independen dari vendor. Rootkit memiliki fitur perlindungan mesin virtual, debugging, dan kebingungan kode untuk memblokir atau menggagalkan upaya analisis, menyediakan "perlindungan agen" tingkat kernel (cincin 0) untuk disimpan dalam firmware UEFI, dan dilengkapi dengan panduan instalasi berfitur lengkap dan FAQ.
Seperti rootkit lainnya, BlackLotus dimuat pada tahap awal proses boot sebelum fase startup Windows. Malware ini dapat melewati banyak perlindungan Windows, termasuk Boot Aman, UAC, BitLocker, HVCI, dan Windows Defender, sambil menawarkan kemampuan untuk mengunduh driver yang tidak ditandatangani. Fitur canggih lainnya dari malware ini termasuk mode transfer file berfitur lengkap dan "bootloader bertanda yang rentan" yang tidak dapat dibatalkan tanpa memengaruhi ratusan bootloader yang masih digunakan hingga saat ini.
Scott Schaeferman menyoroti bahaya yang dapat ditimbulkan BlackLotus terhadap keamanan berbasis firmware modern, membuat tingkat ancaman yang sebelumnya hanya tersedia untuk Advanced Persistent Threats (APT) yang disponsori negara seperti GRU Rusia atau APT 41 China tersedia bagi siapa saja. Rootkit UEFI yang baru dapat menjadi lompatan nyata bagi penjahat siber dalam hal kemudahan penggunaan, skalabilitas, ketersediaan, ketahanan, penghindaran, dan potensi penghancuran.
Rootkit UEFI pernah dianggap sebagai ancaman yang sangat langka dan khusus, tetapi banyak penemuan selama beberapa tahun terakhir menunjukkan skenario yang sangat berbeda. Adapun BlackLotus, komunitas keamanan perlu menganalisis sampel malware dunia nyata untuk menentukan apakah fitur yang diiklankan itu nyata, apakah siap untuk menyebar, atau apakah itu hanya penipuan yang dibuat dengan baik.
Anda dapat membantu Ukraina melawan penjajah Rusia. Cara terbaik untuk melakukannya adalah dengan menyumbangkan dana ke Angkatan Bersenjata Ukraina melalui selamatkan hidup atau melalui halaman resmi NBU.
Juga menarik:
- SpyBuster MacPaw sekarang melindungi terhadap ancaman cyber Rusia di browser
- Google: Peretas Rusia membuat aplikasi Ukraina palsu