Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominado HybridPetya que se asemeja al palpable malware Petya/Notpetya, al tiempo que incorpora la capacidad de evitar el mecanismo de inicio seguro en sistemas de interfaz de firmware desplegable unificados (UEFI) utilizando una vulnerabilidad ahora cortada que se describe este año.
La compañía de ciberseguridad eslovaco, ESET, dijo que las muestras se cargaron a la plataforma Virustotal en febrero de 2025.
“HybridPetya monograma la tabla de archivos maestros, que contiene metadatos importantes sobre todos los archivos en particiones formatadas en NTFS”, dijo el investigador de seguridad Martin Smolár. “A diferencia del Petya/Notpetya flamante, HybridPetya puede comprometer los sistemas modernos basados en UEFI al instalar una aplicación EFI maliciosa en la partición del sistema EFI”.
En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de encriptar el archivo de la tabla de archivos maestros (MFT), que contiene metadatos relacionados con todos los archivos en la partición formatizada por NTFS.
HybridPetya viene con dos componentes principales: un despojo y un instalador, con el primero apareciendo en dos versiones distintas. El BootKit, que implementa el instalador, es el principal responsable de cargar su configuración y confirmar su estado de oculto. Puede tener tres títulos diferentes –
- 0 – Avispado para el oculto
- 1 – ya encriptado, y
- 2 – Ransom pagado, disco descifrado
Si el valía se establece en 0, procede a establecer el indicador en 1 y monograma el archivo Efi Microsoft Boot Verify con el operación de oculto Salsa20 utilizando la esencia y no CE especificada en la configuración. Todavía crea un archivo llamado ” Efi Microsoft Boot Counter” en la partición del sistema EFI ayer de iniciar el proceso de oculto de disco de todas las particiones formatadas en NTFS. El archivo se utiliza para realizar un seguimiento de los grupos de disco ya cifrados.
Adicionalmente, el Bootkit actualiza el mensaje FALSO CHKDSK que se muestra en la pantalla de la víctima con información sobre el estado de oculto coetáneo, mientras que la víctima se engaña al pensar que el sistema está reparando errores de disco.
Si el Bootkit detecta que el disco ya está encriptado (es sostener, el indicador está configurado en 1), sirve una nota de rescate a la víctima, exigiéndoles que envíen $ 1,000 en bitcoin a la dirección de billetera especificada (34UNKKSGZZVF5AYBJKUA2YYYYZW89ZLWXU2). La billetera está actualmente vacía, aunque ha recibido $ 183.32 entre febrero y mayo de 2025.
La pantalla de nota Ransom además proporciona una opción para que la víctima ingrese a la esencia de patraña comprada al cirujano luego de realizar el plazo, luego de lo cual el BootKit verifica la esencia e intenta descifrar el archivo “Efi Microsoft Boot Verify”. En caso de que se ingrese la esencia correcta, el valía del indicador se establece en 2 y inicia el paso de descifrado leyendo el contenido del archivo ” Efi Microsoft Boot contador”.
“El descifrado se detiene cuando el número de grupos descifrados es igual al valía del contador”, dijo Smolár. “Durante el proceso de descifrado de MFT, el BootKit muestra el estado del proceso de descifrado coetáneo”.
La escalón de descifrado además implica que el BootKit que recupere los cargadores de inicio legítimos – ” Efi Boot Bootx64.efi” y ” Efi Microsoft Boot Bootmgfw.efi” – de las copias de seguridad previamente creadas durante el proceso de instalación. Una vez que se completa este paso, se le solicita a la víctima que reinicie su máquina Windows.
Vale la pena señalar que los cambios en el cargador de inicio iniciados por el instalador durante la implementación del componente de Bootkit de UEFI desencadenan un incomunicación del sistema (además conocido como pantalla zarco de asesinato o BSOD) y asegura que el binario Bootkit se ejecute una vez que el dispositivo se enciende.
Se ha antagónico que las variantes seleccionadas de HybridPetya, ESET, se han antagónico para explotar CVE -2024‑7344 (puntaje CVSS: 6.7), una vulnerabilidad de ejecución de código remoto en la aplicación HowYar Reloader UEFI (“Reloader.efi”, renombrado en el Artifact en el Artifact como ” Efi Microsoft Bootmgfw.efi”) que puede dar como resultado un arte de inicio en el arte.
La variación además incluye un archivo especialmente primoroso llamado “Cloak.dat”, que se puede cargar a través de reloader.efi y contiene el binario de Bootkit xored. Desde entonces, Microsoft ha revocado el antiguo y inerme binario como parte de su puesta al día del martes de parche para la puesta al día de enero de 2025.
“Cuando el binario reloader.efi (implementado como bootmgfw.efi) se ejecuta durante el inicio, búsqueda la presencia del archivo Cloak.dat en la partición del sistema EFI, y carga la aplicación UEFI integrada desde el archivo de una guisa muy insegura, completamente insegura cualquier comprobación de integridad, pasando por el inicio de UEFI”, dijo Eset.
Otro aspecto en el que hybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este posterior, el artefacto recién identificado permite a los actores de amenaza reedificar la esencia de descifrado de las claves de instalación personal de la víctima.
Los datos de telemetría de ESET no indican evidencia de que se use HybridPetya en la naturaleza. La compañía de ciberseguridad además señaló el flamante descubrimiento de una prueba de concepto de UEFI Petya (POC) por parte del investigador de seguridad Aleksandra “Hasherezade” Doniec, y agregó que es posible que pueda ocurrir “alguna relación entre los dos casos”. Sin retención, no descarta la posibilidad de que HybridPetya además sea un POC.
“HybridPetya ahora es al menos el cuarto ejemplo públicamente conocido de un Bootkit UEFI actual o de prueba de concepto con la funcionalidad de bypass de inicio segura de UEFI, uniendo BlackLotus (explotando CVE-2022‑21894), bootkitty (explotando logofail) y el hyper-v retroceso (explotando CVE-2020-26200),” Said.
“Esto muestra que las derivaciones seguras de inicio no son solo posibles: se están volviendo más comunes y atractivos tanto para los investigadores como para los atacantes”.
