HybridPetya explora vulnerabilidade UEFI para ignorar inicialização segura em sistemas legados
A ESET Research descobriu uma nova variante sofisticada de ransomware chamada HybridPetya, descoberta na plataforma de compartilhamento de amostras VirusTotal.
Este malware representa uma evolução perigosa da infame família de ransomware Petya/NotPetya, incorporando recursos avançados para comprometer sistemas baseados em UEFI e explorar o CVE-2024-7344 para contornar as proteções UEFI Secure Boot em sistemas vulneráveis.
Diferentemente de seus antecessores, o HybridPetya demonstra um avanço técnico significativo ao mirar em sistemas modernos baseados em UEFI.
O malware instala um aplicativo EFI malicioso diretamente na partição do sistema EFI, dando a ele um controle sem precedentes sobre o processo de inicialização.
Essa técnica permite que o ransomware opere em um nível mais baixo do que o malware tradicional, tornando-o extremamente difícil de detectar e remover usando ferramentas de segurança convencionais.
O recurso mais preocupante do malware é a exploração do CVE-2024-7344, uma vulnerabilidade crítica de desvio do UEFI Secure Boot que a ESET Research anteriormente divulgado no início de 2025.
Ao aproveitar um arquivo cloak.dat especialmente criado, o HybridPetya pode contornar as proteções de inicialização segura em sistemas desatualizados que não receberam as atualizações de segurança da Microsoft em janeiro de 2025.
Especialistas em segurança observam que o HybridPetya representa pelo menos o quarto exemplo publicamente conhecido de malware UEFI bootkit com funcionalidade de desvio Secure Boot, juntando-se ao BlackLotus, BootKitty e à prova de conceito Hyper-V Backdoor.
Visão geral da lógica de execução do HybridPetya.
Esse recurso de desvio torna o malware particularmente perigoso para organizações que executam sistemas legados ou aquelas com ciclos de gerenciamento de patches atrasados.
Análise Técnica e Metodologia de Ataque
O HybridPetya emprega a mesma metodologia de criptografia destrutiva de seus predecessores, visando a Master File Table (MFT) em partições formatadas em NTFS.
O MFT contém metadados críticos sobre todos os arquivos do sistema, e sua criptografia efetivamente torna todo o sistema inutilizável até que o resgate seja pago.
O malware usa o algoritmo de criptografia Salsa20 com uma chave de 32 bytes e nonce de 8 bytes, exibindo uma mensagem CHKDSK falsa durante o processo de criptografia para enganar as vítimas, fazendo-as acreditar que seu sistema está passando por manutenção de rotina.
As amostras de ransomware foram carregadas pela primeira vez para Total de vírus em fevereiro de 2025 da Polônia, usando nomes de arquivos como “notpetyanew.exe” que indicam claramente sua conexão com a campanha NotPetya original.
No entanto, diferentemente do malware puramente destrutivo NotPetya, que causou mais de US$ 10 bilhões em danos durante os ataques de 2017, o HybridPetya parece funcionar como um ransomware legítimo, com operadores capazes de fornecer chaves de descriptografia mediante pagamento.
A telemetria ESET indica que o HybridPetya não está sendo usado atualmente em campanhas ativas, sugerindo que ainda pode estar em desenvolvimento ou prova de conceito estágios.
O malware não possui os recursos agressivos de propagação de rede que tornaram o NotPetya tão devastador, potencialmente limitando sua disseminação.
No entanto, pesquisadores de segurança alertam que a sofisticação técnica demonstrada nessas amostras torna o HybridPetya uma ameaça significativa para monitoramento futuro.
O ransomware exibe notas de resgate semelhantes ao NotPetya original, exigindo pagamento em Bitcoin para endereços controlados pelos operadores.
O valor do resgate e as instruções de pagamento específicas diferem das campanhas originais do NotPetya, indicando que este é o trabalho de diferentes agentes de ameaças.
Essa tendência demonstra que os desvios do UEFI Secure Boot estão se tornando cada vez mais comuns e atraentes tanto para pesquisadores de segurança quanto para agentes maliciosos.
As organizações podem se proteger garantindo que seus sistemas tenham recebido as atualizações de segurança da Microsoft de janeiro de 2025, que abordam a vulnerabilidade CVE-2024-7344.
Avaliações regulares de segurança, soluções de proteção de endpoint e manutenção dos níveis atuais de patch continuam sendo defesas essenciais contra essa categoria de ameaça emergente.
Fonte: GBHackers - Mayura Kathir
Veja também:
- As 10 melhores ferramentas de simulação de violação e ataque (BAS) em 2025
- Apple alerta sobre ataques de spyware
- TCO reduzido e melhora na postura de cybersecurity
- Ataques ao Pix expõem fragilidades de mensageria
- Terceirizados viram porta de entrada para ciberataques
- De SIEM para Security Data Lake
- 93% dos ciberataques no varejo são considerados simples
- 58% das violações expõem informações de alunos e colaboradores
- Agentes autônomos em IA revolucionam a cibersegurança
- Ciberataques na saúde crescem e exigem investimentos urgentes em segurança
- Colaboração entre CIOs e CISOs fortalece a resiliência corporativa
- 94% das empresas temem que IA amplie riscos cibernéticos
Be the first to comment