HybridPetya ransomware CVE-2024-7344 kihasználással
Az ESET kiberbiztonsági kutatói felfedeztek egy új ransomware fajtát, amit HybridPetya névre kereszteltek. A HíbridPetya hasonlít a hírhedt Petya/NotPetya malware-re, ugyanakkor képes megkerülni a Secure Boot mechanizmust az Unified Extensible Firmware Interface (UEFI) rendszerekben egy idén korábban nyilvánosságra hozott, mára már javított sérülékenység – CVE-2024-7344 – kihasználásával.
Az ESET szerint a mintákat 2025 februárjában töltötték fel a VirusTotal-ra Lengyelországból. A HybridPetya titkosítja a Master File Table-t, amely fontos metaadatokat tartalmaz az NTFS-formátumú partíciókon található összes fájlról – mondta Martin Smolár biztonsági kutató. Az eredeti Petya/NotPetya-tól eltérően a HybridPetya a modern UEFI-alapú rendszereket is kompromittálhatja azzal, hogy rosszindulatú EFI-alkalmazást telepít az EFI rendszerpartícióra.
A HybridPetya két fő komponenssel rendelkezik: egy bootkittel és egy telepítővel, az előbbi két különböző változatban jelenik meg. A telepítő által telepített bootkit elsősorban a konfiguráció betöltéséért és a titkosítási állapot ellenőrzéséért felelős. Három különböző értéke lehet: 0 – készen áll a titkosításra; 1 – már titkosítva van, és 2 – a váltságdíj kifizetve, a lemez visszafejtve.
A NotPetya támadás a történelem egyik legpusztítóbb kibertámadásának számít, amely összesen több mint 10 milliárd dollár kárt okozott. Annak ellenére, hogy a NotPetya hasonlít a 2016 márciusában felfedezett Petya ransomware-hez, a NotPetya célja csupán a pusztítás volt, mivel a áldozat személyes telepítési kulcsából nem volt lehetséges a titkosítási kulcs helyreállítása. Mivel a jelenleg felfedezett minták mind a Petya, mind a NotPetya jellemzőit magukban hordozzák, az új felfedezést HybridPetya névre keresztelték a kutatók.
