Bezpečnostní firma ESET upozornila na nový ransomware s názvem HybridPetya, který dokáže obejít funkci UEFI Secure Boot a nainstalovat škodlivý bootkit do oddílu EFI System Partition. Podle odborníků jde pravděpodobně o výzkumný projekt nebo důkaz konceptu, nicméně technologie by mohla být snadno zneužita v budoucích útocích.
HybridPetya se inspiruje malwarem Petya a NotPetya, které v minulosti znemožňovaly spuštění Windows a zašifrovaly soubory bez možnosti obnovy. Nová varianta kombinuje jejich prvky, ale přidává schopnost obejít zabezpečení Secure Boot pomocí zranitelnosti CVE-2024-7344, odhalené v lednu 2025. „Aplikace podepsané společností Microsoft mohly být zneužity k instalaci bootkitů i při aktivním Secure Boot,“ uvedl ESET.
Po spuštění ransomware zjistí, zda hostitelský systém používá UEFI s GPT, a následně uloží vlastní bootkit do oddílu EFI. Součástí útoku jsou konfigurační soubory, záloha původního zavaděče i XORovaný kód, který se aktivuje při restartu. HybridPetya poté nahradí legitimní zavaděč Windows zranitelným souborem reloader.efi.
Proces infekce připomíná původní Petya: malware vyvolá modrou obrazovku smrti s falešnou hláškou, systém se restartuje a následně se spustí škodlivý bootkit. Šifrování probíhá pomocí algoritmu Salsa20, přičemž uživateli se zobrazuje falešné „kontrolování disku“ ve stylu NotPetya. Po dokončení se objeví výkupní zpráva požadující platbu v bitcoinech ve výši 1 000 USD.
ESET zdůrazňuje, že zatím nebyly zaznamenány reálné útoky využívající HybridPetya, ale podobné projekty mohou být rychle nasazeny proti systémům bez bezpečnostních aktualizací. Microsoft zranitelnost CVE-2024-7344 opravil v lednovém Patch Tuesday, takže systémy s touto aktualizací jsou chráněny.
Odborníci doporučují nejen pravidelně instalovat aktualizace, ale také uchovávat offline zálohy důležitých dat, což zůstává nejúčinnější ochranou před ransomwarem.
Zdroj: Bleeping Computer
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
