Словацкая компания по кибербезопасности ESET обнаружила новый штамм программы-вымогателя HybridPetya. Образцы вредоносного ПО были загружены на платформу VirusTotal в феврале 2025 года. Основная функция HybridPetya — шифрование главной файловой таблицы (MFT) на разделах с файловой системой NTFS, что делает операционную систему неработоспособной без ключа дешифрования.
Ключевой особенностью HybridPetya является использование UEFI-буткита, который позволяет обходить механизм безопасной загрузки Secure Boot. Это достигается за счет эксплуатации известной уязвимости удаленного выполнения кода CVE-2024-7344 с рейтингом CVSS 6.7. Уязвимость находится в UEFI-приложении Howyar Reloader, а именно в его файле
Процесс атаки начинается с того, что установщик вредоносного ПО переименовывает уязвимый файл
Вредоносное ПО состоит из двух компонентов: установщика и самого буткита. Работа буткита управляется флагом состояния, который может иметь три значения. Если значение равно 0 («готов к шифрованию»), буткит устанавливает флаг в 1, шифрует файл
Когда система уже зашифрована (флаг состояния равен 1), на экране появляется требование о выкупе. Злоумышленники требуют $1000 в биткоинах, которые необходимо перевести на кошелек
Если жертва платит выкуп и вводит правильный ключ, флаг состояния меняется на 2 («выкуп уплачен, диск расшифрован»). Буткит считывает файл
В отличие от своего предшественника NotPetya, который был «вайпером» (программой-уничтожителем), HybridPetya не является деструктивным. Ключ дешифрования может быть восстановлен, что делает возможным полное восстановление данных после оплаты выкупа.
На данный момент нет никаких доказательств использования HybridPetya в реальных атаках. Ведущий исследователь ESET Мартин Смолар классифицирует его как Proof-of-Concept (PoC) — демонстрацию концепции. Специалисты ESET также отмечают возможную связь этой разработки с UEFI Petya PoC, который недавно был создан исследовательницей безопасности Александрой «Hasherezade» Дониец.
HybridPetya стал четвертым известным буткитом (реальным или PoC), способным обходить Secure Boot. Ранее были обнаружены BlackLotus, эксплуатирующий уязвимость CVE-2022-21894, BootKitty, использующий уязвимости LogoFail, и PoC-бэкдор для Hyper-V, основанный на CVE-2020-26200.
Компания Microsoft устранила уязвимость CVE-2024-7344 в рамках своего обновления безопасности Patch Tuesday за январь 2025 года, отозвав цифровую подпись уязвимого бинарного файла.
Изображение носит иллюстративный характер
Ключевой особенностью HybridPetya является использование UEFI-буткита, который позволяет обходить механизм безопасной загрузки Secure Boot. Это достигается за счет эксплуатации известной уязвимости удаленного выполнения кода CVE-2024-7344 с рейтингом CVSS 6.7. Уязвимость находится в UEFI-приложении Howyar Reloader, а именно в его файле
reloader.efi. Процесс атаки начинается с того, что установщик вредоносного ПО переименовывает уязвимый файл
reloader.efi в \EFI\Microsoft\Boot\bootmgfw.efi, подменяя легитимный загрузчик Windows. Затем на системный раздел EFI помещается специально созданный файл cloak.dat, который содержит основной бинарный код буткита, замаскированный с помощью операции XOR. Во время загрузки системы скомпрометированный bootmgfw.efi выполняет код из cloak.dat без проверки целостности, эффективно обходя защиту Secure Boot. Вредоносное ПО состоит из двух компонентов: установщика и самого буткита. Работа буткита управляется флагом состояния, который может иметь три значения. Если значение равно 0 («готов к шифрованию»), буткит устанавливает флаг в 1, шифрует файл
\EFI\Microsoft\Boot\verify с помощью алгоритма Salsa20 и создает файл \EFI\Microsoft\Boot\counter для отслеживания прогресса. Затем начинается шифрование всех NTFS-разделов, при этом пользователю для маскировки отображается поддельный экран утилиты CHKDSK. Когда система уже зашифрована (флаг состояния равен 1), на экране появляется требование о выкупе. Злоумышленники требуют $1000 в биткоинах, которые необходимо перевести на кошелек
34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2. Анализ транзакций показал, что в период с февраля по май 2025 года на этот кошелек поступила сумма, эквивалентная $183.32, однако в настоящее время он пуст. Если жертва платит выкуп и вводит правильный ключ, флаг состояния меняется на 2 («выкуп уплачен, диск расшифрован»). Буткит считывает файл
\EFI\Microsoft\Boot\counter для определения объема зашифрованных данных и начинает процесс расшифровки MFT, отображая прогресс на экране. После завершения он восстанавливает легитимные загрузчики \EFI\Boot\bootx64.efi и \EFI\Microsoft\Boot\bootmgfw.efi из резервных копий и предлагает пользователю перезагрузить компьютер для восстановления доступа к Windows. В отличие от своего предшественника NotPetya, который был «вайпером» (программой-уничтожителем), HybridPetya не является деструктивным. Ключ дешифрования может быть восстановлен, что делает возможным полное восстановление данных после оплаты выкупа.
На данный момент нет никаких доказательств использования HybridPetya в реальных атаках. Ведущий исследователь ESET Мартин Смолар классифицирует его как Proof-of-Concept (PoC) — демонстрацию концепции. Специалисты ESET также отмечают возможную связь этой разработки с UEFI Petya PoC, который недавно был создан исследовательницей безопасности Александрой «Hasherezade» Дониец.
HybridPetya стал четвертым известным буткитом (реальным или PoC), способным обходить Secure Boot. Ранее были обнаружены BlackLotus, эксплуатирующий уязвимость CVE-2022-21894, BootKitty, использующий уязвимости LogoFail, и PoC-бэкдор для Hyper-V, основанный на CVE-2020-26200.
Компания Microsoft устранила уязвимость CVE-2024-7344 в рамках своего обновления безопасности Patch Tuesday за январь 2025 года, отозвав цифровую подпись уязвимого бинарного файла.
