A ESET descobriu o bootkit e ransomware HybridPetya carregado da Polónia para a plataforma de verificação de malware VirusTotal. A amostra é uma cópia do infame malware Petya/NotPetya; no entanto, adiciona a capacidade de comprometer sistemas baseados em UEFI e utilizar o CVE-2024-7344 para contornar o UEFI Secure Boot em sistemas desatualizados.
“No final de julho de 2025, encontrámos amostras suspeitas de ransomware com vários nomes de ficheiros, incluindo notpetyanew.exe e outros semelhantes, sugerindo uma ligação com o malware infame e destrutivo que atingiu a Ucrânia e muitos outros países em 2017. O ataque NotPetya é considerado o ciberataque mais destrutivo da história, com mais de 10 mil milhões de dólares em danos totais. Devido às características comuns das amostras recém-descobertas com o Petya e o NotPetya, batizámos este novo malware de HybridPetya”, afirma o investigador da ESET Martin Smolár, responsável pela descoberta.
O algoritmo utilizado para gerar a chave de instalação pessoal da vítima, ao contrário do NotPetya original, permite ao operador do malware reconstruir a chave de desencriptação a partir das chaves de instalação pessoais da vítima. Assim, o HybridPetya mantém-se viável como ransomware normal – mais parecido com o Petya. Para além disso, o HybridPetya também é capaz de comprometer sistemas modernos baseados em UEFI, instalando uma aplicação UEFI maliciosa na Partição do Sistema EFI. A aplicação UEFI implantada é então responsável pela encriptação do ficheiro Master File Table (MFT) associado ao NTFS – um importante ficheiro de metadados que contém informações sobre todos os ficheiros na partição formatada em NTFS.
“Depois de um pouco mais de investigação, descobrimos algo ainda mais interessante no VirusTotal: um arquivo contendo todo o conteúdo da Partição do Sistema EFI, incluindo uma aplicação UEFI HybridPetya muito semelhante, mas desta vez empacotada num ficheiro cloak.dat com especialmente formatado, vulnerável ao CVE-2024-7344 – a vulnerabilidade de contorno do UEFI Secure Boot que a nossa equipa divulgou no início de 2025”, acrescenta Smolár. As publicações da ESET de janeiro de 2025 evitaram propositadamente detalhar a vulnerabilidade; assim, o autor do malware provavelmente reconstruiu o formato correto do ficheiro cloak.dat com base na engenharia reversa da aplicação vulnerável por conta própria.
A telemetria da ESET ainda não mostra nenhum uso ativo do HybridPetya em circulação; portanto, o HybridPetya pode ser apenas uma prova de conceito desenvolvida por um investigador de segurança ou um agente de ameaças desconhecido. Para além disso, este malware não exibe a propagação agressiva pela rede observada no NotPetya original.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/
