A differenza dei ransomware, i bootkit non sono molti diffusi, ma possono causare danni anche peggiori, visto che permettono di aggirare le protezioni di sicurezza hardware e software. Uno dei più recenti è BlackLotus, venduto sui forum del dark web al prezzo di 5.000 dollari. L’autore del bootkit ha rilasciato una nuova versione che può essere acquistato con 200 dollari aggiuntivi.
BlackLotus: nuovo bootkit per Windows
I bootkit sono principalmente utilizzati per effettuare attacchi mirati contro aziende o altri target importanti. Quasi sempre lo scopo è rubare informazioni sensibili e riservate. Le campagne di cyberspionaggio sono spesso finanziate dai governi (russi e cinesi in particolare). Come hanno evidenziato un ricercatore di Kaspersky (Sergey Lozhkin) e il CTO di Eclypsium (Scott Scheferman), BlackLotus è uno dei più avanzati.
Il bootkit occupa solo 80 KB, ma offre numerose “funzionalità”. È stato scritto in assembly e linguaggio C. Grazie all’offuscamento del codice può ostacolare l’analisi effettuata con macchine virtuali e tool di debugging. BlackLotus può disattivare Microsoft Defender, BitLocker e HVCI (Hypervisor-Protected Code Integrity), aggirare le protezioni UAC (controllo account utente) e Secure Boot, caricare driver non firmati.
L’utente che vende il bootkit afferma che non può essere rilevato dalle soluzioni di sicurezza, quindi rimane persistente per lungo tempo. Il bootkit viene caricato attraverso un bootloader vulnerabile firmato. Scheferman sottolinea che le funzionalità complete potranno essere individuate solo dopo aver esaminato il codice di BlackLotus.