HybridPetya unisce tecniche di Petya/NotPetya a un inedito attacco UEFI per eludere Secure Boot e cifrare i dati.
Autore: Redazione SecurityOpenLab
Si chiama HybridPetya il ransomware che riprende l’impianto tecnico di Petya/NotPetya, aggiungendovi capacità inedite, tra cui il bypass del Secure Boot UEFI grazie allo sfruttamento della vulnerabilità CVE-2024-7344. A scoprire e monitorare la minaccia sono i ricercatori di ESET Research, che nel resoconto tecnico diffuso online segnalano l’individuazione del malware sottoforma di campioni caricati su VirusTotal a partire da febbraio 2025.
Sul piano delle capacità tecniche, la primaria novità rispetto alle varianti storiche riguarda la possibilità di compromettere i sistemi UEFI installando una EFI application malevola nella EFI System Partition. In estrema sintesi, HybridPetya altera il processo di avvio dei PC agendo direttamente sulla EFI System Partition, ossia la partizione che contiene i file essenziali per il boot. Così facendo il ransomware si attiva prima ancora che venga caricato il sistema operativo, eludendo le difese.
A differenza di NotPetya, che era un’arma puramente distruttiva, HybridPetya permette (almeno in teoria) di ricostruire la chiave di decrittazione a partire dalla personal installation key della vittima. A tale proposito è fondamentale l’adozione di un algoritmo ispirato a RedPetyaOpenSSL, che inserisce HybridPetya in un filone evolutivo distinto rispetto ad altri progetti Proof-of-Concept UEFI-based, come NotPetyaAgain, che tecnicamente non ha correlazione con questa nuova minaccia.
L’analisi della componente UEFI bootkit ha rivelato che HybridPetya individua e analizza le partizioni NTFS del disco agendo direttamente sul file Master File Table (MFT), che è un elemento cardine del filesystem NTFS poiché custodisce i metadati di tutti i file archiviati. Il ransomware segue una logica condizionale di flag di cifratura salvati in un file di configurazione: quando il valore è 0 significa che il computer è pronto per essere cifrato; se è 1, significa che i dati sono già stati cifrati; se il valore è 2, vuol dire che è stato pagato il riscatto e che i dati sono stati decifrati.
Una volta attivata la cifratura, il ransomware preleva dalla configurazione la chiave di cifratura Salsa20 e il parametro nonce, e li usa per cifrare sia un file di verifica, sia i dati principali del disco memorizzati nel Master File Table. Al riavvio del computer, la vittima vede sullo schermo una finta scansione di Windows (CHKDSK), anche se in realtà il ransomware sta cifrando i dati del disco senza che l’utente se ne accorga. Un dettaglio tecnico di rilievo è la continua scrittura del numero di cluster cifrati all’interno del file counter su EFI System Partition, fatta per consentire un controllo costante dello stato dell’operazione.
A cifratura ultimata, la vittima si ritrova davanti la schermata con la richiesta di riscatto, che imita nell’aspetto e nella struttura quella di NotPetya, anche se presenta dettagli differenti relativi al valore del riscatto, all’indirizzo e-mail dell’operatore e altro. A pagamento ultimato, viene fornita una chiave di 32 caratteri da inserire per attivare la routine di decrittazione.
La persistenza di HybridPetya è assicurata dalla sua capacità di sostituire i bootloader Windows, previa creazione di backup con estensione .old. Il ciclo d’attacco viene chiuso forzando un crash di sistema tramite l’API nativa NtRaiseHardError, esattamente come il Petya originale: il successivo riavvio assicura l’avvio del bootkit malevolo. Tutti i dettagli tecnici, la ricostruzione dell’attacco e gli IoC sono disponibili sulla pagina ufficiale del blog WeLiveSecurity di ESET.