Um novo ransomware chamado HybridPetya foi recentemente descoberto e chama atenção por conseguir contornar o recurso UEFI Secure Boot para instalar uma aplicação maliciosa na partição EFI System Partition.
Inspirado nos malwares destrutivos Petya e NotPetya, que entre 2016 e 2017 criptografaram computadores e impediram o boot do Windows sem oferecer qualquer possibilidade de recuperação, o HybridPetya traz características dessas ameaças, mas com novidades preocupantes.
Pesquisadores da empresa de cibersegurança ESET encontraram uma amostra do HybridPetya no VirusTotal.
Eles destacam que, por enquanto, essa ameaça pode ser um projeto de pesquisa, uma prova de conceito (PoC) ou uma versão inicial de uma ferramenta de cibercrime ainda em fase de testes restritos.
Mesmo assim, a presença do HybridPetya reforça a tendência observada em outros exemplos recentes — como BlackLotus, BootKitty e Hyper-V Backdoor — que os bootkits UEFI com funcionalidade de Secure Boot bypass representam uma ameaça real e crescente para a segurança dos sistemas.
O ransomware combina elementos do Petya e do NotPetya, como a aparência visual e a cadeia de ataques usadas por esses malwares antigos.
Porém, o desenvolvedor introduziu novas técnicas, como a instalação direta na EFI System Partition e a capacidade de contornar o Secure Boot explorando a vulnerabilidade
CVE-2024-7344
.
Essa falha, descoberta pela ESET em janeiro de 2024, permite que aplicações assinadas pela Microsoft sejam usadas para implantar bootkits, mesmo quando a proteção Secure Boot está ativa no sistema alvo.
Quando ativado, o HybridPetya verifica se o computador usa UEFI com particionamento GPT e injeta um bootkit malicioso na EFI System Partition — que consiste em vários arquivos que controlam o processo do ransomware.
Entre os arquivos usados pelas variantes do HybridPetya, estão:
- \EFI\Microsoft\Boot\config: contém o flag de criptografia, chave, nonce e ID da vítima.
- \EFI\Microsoft\Boot\verify: utilizado para validar a chave de descriptografia correta.
- \EFI\Microsoft\Boot\counter: acompanha o progresso da criptografia dos clusters.
- \EFI\Microsoft\Boot\bootmgfw.efi.old: backup do bootloader original.
- \EFI\Microsoft\Boot\cloak.dat: armazena o bootkit em XOR na variante que contorna o Secure Boot.
Além disso, o malware substitui o \EFI\Microsoft\Boot\bootmgfw.efi pelo ‘reloader.efi’ vulnerável e remove o arquivo \EFI\Boot\bootx64.efi.
O bootloader original do Windows é salvo para ser restaurado caso a vítima pague o resgate.
Após a implantação, o HybridPetya causa uma tela azul da morte (BSOD) com um erro falso, semelhante ao que o Petya fazia, forçando a reinicialização do sistema.
Na sequência, o bootkit malicioso é ativado.
Nesse momento, o ransomware inicia a criptografia de toda a Master File Table (MFT) usando uma chave Salsa20 e um nonce extraídos do arquivo de configuração.
Para disfarçar a atividade, mostra uma mensagem falsa de CHKDSK, como o NotPetya fazia.
Quando a criptografia termina, o sistema reinicia novamente e a vítima se depara com uma nota de resgate durante o boot, que exige um pagamento em Bitcoin no valor de 1.000 dólares.
Ao pagar, o usuário recebe uma chave de 32 caracteres que pode ser digitada na tela do resgate.
Essa chave restaura o bootloader original, descriptografa os clusters e solicita um novo reboot para recuperar o sistema.
Embora o HybridPetya ainda não tenha sido detectado em ataques reais, projetos semelhantes podem vir a utilizar essa prova de conceito para campanhas amplas contra sistemas Windows não atualizados.
Indicadores de comprometimento (IoCs) para ajudar na defesa contra essa ameaça já foram disponibilizados em um repositório no GitHub.
A Microsoft corrigiu a vulnerabilidade
CVE-2024-7344
no Patch Tuesday de janeiro de 2025.
Portanto, sistemas Windows que receberam esta ou versões posteriores das atualizações de segurança estão protegidos contra o HybridPetya.
Além disso, a melhor defesa contra ransomwares continua sendo manter backups offline dos dados mais importantes, garantindo uma restauração simples e gratuita do sistema, mesmo em caso de infecção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...