Pesquisadores de cibersegurança revelaram o que pode ser descrito como o primeiro bootkit UEFI (Unified Extensible Firmware Interface) projetado para sistemas Linux. Batizado de Bootkitty por seus criadores, conhecidos pelo nome BlackCat, o bootkit é avaliado como um protótipo (proof-of-concept) e, até o momento, não há evidências de que tenha sido utilizado em ataques reais. Também rastreado como IranuKit, ele foi enviado à plataforma VirusTotal em 5 de novembro de 2024.

De acordo com os pesquisadores Martin Smolár e Peter Strýček, da ESET, o objetivo principal do Bootkitty é desativar o recurso de verificação de assinatura do kernel Linux e pré-carregar dois binários ELF desconhecidos durante o processo de inicialização do sistema, manipulando o processo “init” do Linux. O desenvolvimento é significativo porque marca uma mudança no cenário de ameaças cibernéticas, indicando que os bootkits UEFI não estão mais restritos a sistemas Windows.

Apesar disso, o Bootkitty só pode ser executado em sistemas com o Secure Boot desativado ou onde um certificado controlado por atacantes já tenha sido instalado, pois ele é assinado por um certificado autoassinado. Os pesquisadores alertam que, embora seja um protótipo, o Bootkitty representa um marco no panorama de ameaças UEFI, desafiando a crença de que esses bootkits seriam exclusividade de sistemas Windows. Isso enfatiza a necessidade de as organizações se prepararem para potenciais ameaças futuras, dado o aumento da complexidade dos ataques direcionados ao firmware.