BlackLotus is een bootkit die sinds 6 oktober 2022 aangeboden wordt voor vijfduizend dollar per licentie. Deze bootkit is in staat om Secure Boot-beveiliging te doorbreken en maakt daarbij gebruik van een bekende kwetsbaarheid, CVE-2022-21894. Zelfs volledig up-to-date Windows 11 systemen zijn niet veilig, en de bootkit kan beveiliging zoals BitLocker en Defender uitschakelen.
Als de bootkit eenmaal geïnstalleerd is dient deze als http-downloader zodat andere programma's geplaatst kunnen worden. Het bestand neemt slechts 80 kilobyte in op de schijf en er zijn online en offline installers in omloop. Het is niet bekend waar BlackLotus vandaan komt. Wel is het opmerkelijk dat de installers de installatie niet starten als de systeemlocatie is ingesteld op Armenië, Belarus, Kazachstan, Moldavië, Oekraïne of Rusland.
Vooralsnog zijn de kwetsbare drivers die de bootkit mogelijk maken niet bijgewerkt. Er zijn nog niet veel aanvallen met BlackLotus bekend, maar als deze gevaarlijke bootkit verspreid wordt zal het aantal zeker flink toe gaan nemen. Dat is ook een van de conclusies van beveiligingsonderzoeker Martin Smolár van Eset.
Bronnen: TechSpot, Bleeping Computer
