Giới chuyên gia bảo mật vừa đưa ra một cảnh báo chấn động giới an ninh mạng: một dạng mã độc tống tiền (ransomware) hoàn toàn mới hoạt động ở cấp độ CPU, ẩn mình trong vi mã (microcode) của bộ xử lý.

Trong bài viết này, hãy cùng Máy tính CDC tìm hiểu loại mã độc có khả năng vượt qua mọi phần mềm diệt virus hiện hành, ngay cả khi cài lại Windows cũng không cứu nổi thiết bị.

Mã độc ransomware ẩn mình trong microcode của CPU

Ransomware cấp độ vi mã – hiểm họa từ sâu bên trong phần cứng

Ông Christiaan Beek, Giám đốc cấp cao mảng phân tích mối đe dọa tại công ty an ninh mạng Rapid7, đã phát triển một bằng chứng khái niệm (PoC) cho loại ransomware có thể tồn tại trong vi kiến trúc vi xử lý AMD Zen. Lỗ hổng này ảnh hưởng đến tất cả các thế hệ từ Zen 1 đến Zen 5. 

Điều đáng lo ngại là loại mã độc này không chạy trong hệ điều hành như thông thường, mà cắm thẳng vào tầng vi mã của CPU hoặc firmware UEFI/BIOS. Trong các đoạn hội thoại bị rò rỉ từ nhóm ransomware Conti (2022), hacker từng nói: “Nếu chỉnh được BIOS và nạp bootloader riêng, ta có thể khóa ổ cứng trước khi Windows tải lên.”

• Khó phát hiện: Hoạt động ngay cả khi chưa khởi động hệ điều hành nên qua mặt được các phần mềm diệt virus.
• Khó loại bỏ: Mọi nỗ lực cứu dữ liệu bằng cài lại hệ điều hành, boot USB hay thậm chí thay ổ đĩa cũng đều vô nghĩa nếu bootloader độc hại nằm trong chip ROM.
• Nguy cơ cao: Nếu bị khai thác, mã độc có thể kiểm soát hoàn toàn hệ thống, đánh cắp dữ liệu hoặc mã hóa dữ liệu để đòi tiền chuộc.

Mã độc có khả năng vượt qua mọi phần mềm diệt virus, cài lại Windows cũng vô tác dụng

Lỗ hổng từ kiến trúc AMD Zen – “kẽ hở” có thể bị lợi dụng

Ý tưởng bắt nguồn từ một lỗ hổng do nhóm bảo mật của Google phát hiện, cho phép tải microcode chưa được ký số (unsigned) vào các dòng CPU AMD Zen. Dù AMD đã phát hành bản vá, nhưng với kỹ thuật viên tay nghề cao, đây có thể trở thành cánh cửa ngầm để phát triển mã độc cấp thấp. Nếu tin tặc có quyền truy cập ở cấp độ kernel (ring 0), họ có thể khai thác lỗ hổng này để cấy mã độc vào vi mã CPU.

Christiaan Beek chia sẻ: “Tôi từng nghĩ: liệu có thể viết ransomware hoạt động trong CPU không? Và tôi đã làm được.” Dù ông không công bố mã mẫu, nhưng rõ ràng đây không còn là một kịch bản viễn tưởng.

Nguy cơ thực sự: tấn công phần cứng có thể sẽ trở thành chuẩn mực mới

Beek khẳng định: “Trong năm 2025, chúng ta không nên còn nói về ransomware ở cấp độ phần mềm nữa. Vấn đề phải được giải quyết từ gốc – tức là phần cứng và firmware.”

Thực tế cho thấy, nhiều vụ tấn công mạng ngày nay không bắt đầu từ công nghệ cao, mà từ những sơ suất cơ bản:

• Sử dụng mật khẩu mặc định hoặc yếu
• Không cập nhật bản vá firmware kịp thời
• Thiếu lớp xác thực hai yếu tố
• Quản lý thiết bị IT chưa theo chuẩn bảo mật

Nhiều vụ tấn công mạng không bắt đầu từ công nghệ cao mà từ những sơ suất cơ bản

Doanh nghiệp và cá nhân nên làm gì?

Mối đe dọa từ ransomware phần cứng cho thấy bảo mật không chỉ nằm ở phần mềm diệt virus. Đã đến lúc người dùng cần chú trọng hơn tới các biện pháp phòng ngừa:

• Cập nhật định kỳ phần mềm điều khiển hệ thống: Đảm bảo rằng BIOS/UEFI của bạn được cập nhật với các bản vá bảo mật mới nhất từ nhà sản xuất chính hãng.
• Sử dụng thiết bị có chứng nhận bảo mật phần cứng: Kích hoạt TPM 2.0 và tính năng bảo vệ BIOS chống ghi
• Mua phần cứng từ nhà phân phối uy tín: Tránh hàng đã qua sửa đổi, “refurbished” không rõ nguồn gốc
• Hạn chế quyền truy cập: Chỉ cấp quyền truy cập ở cấp độ quản trị viên cho những người dùng thực sự cần thiết.
• Giám sát hệ thống: Quản trị IT tập trung, theo dõi các hoạt động bất thường trong hệ thống để phát hiện sớm các dấu hiệu bị tấn công.
• Đào tạo bảo mật: Cập nhật kiến thức an ninh mạng để nhận biết nguy cơ lừa đảo và an toàn mật khẩu.

Bảo mật không chỉ nằm ở phần mềm diệt virus

Máy Tính CDC – Đồng hành bảo mật từ nền tảng phần cứng

Tại Máy Tính CDC, chúng tôi không chỉ cung cấp thiết bị máy tính chính hãng, mà còn tư vấn giải pháp phần cứng tối ưu – an toàn – bảo trì dễ dàng, giúp doanh nghiệp giảm thiểu rủi ro từ tầng sâu hệ thống:

• Laptop, desktop văn phòng tích hợp TPM, BIOS bảo vệ, khả năng quản trị từ xa
• Máy chủ và thiết bị lưu trữ cấu hình chuyên biệt cho IT nội bộ
• Tư vấn triển khai hệ thống phần cứng đồng bộ, hỗ trợ sau bán hàng

Liên hệ ngay hôm nay để được hỗ trợ đánh giá và nâng cấp hệ thống an toàn hơn!