На платформе VirusTotal появился новый идентифицированный штамм вируса-вымогателя HybridPetya. Загруженный в феврале 2025 года образец отображался под названиями файлов, что указывало на связь с разрушительной эпидемией NotPetya.
Вредонос имеет существенное сходство с Petya и NotPetya, но обладает новыми возможностями, которые выделяют его среди других, включая способность взламывать системы на базе UEFI. HybridPetya атакует разделы NTFS, шифруя главную таблицу файлов (MFT) — основной компонент, отображающий расположение хранящихся файлов.
В отличие от NotPetya, который нанёс ущерб более чем на 10 млрд долларов в 2017 году, сделав восстановление невозможным, HybridPetya позволяет жертвам восстановить доступ при предоставлении правильного ключа дешифрования. Это больше похоже на поведение обычного вируса-вымогателя. Анализ показывает, что программа устанавливает вредоносное приложение EFI в системный раздел EFI, обеспечивая сохранение на уровне, превышающем уровень операционной системы.
В одной из версий HybridPetya также эксплуатируется уязвимость CVE-2024-7344. Она позволяет злоумышленникам обходить UEFI Secure Boot на неисправленных системах, загружая специально созданный файл cloak.dat через подписанное, но уязвимое приложение Microsoft.
Исследование ESET, проанализировавшее образцы, не обнаружило свидетельств активного распространения HybridPetya. В отличие от NotPetya, он не содержит самораспространяющегося кода, предназначенного для перемещения по сетям. Тем не менее, его технические характеристики весьма значительны. Сочетая функции программ-вымогателей с сохранением на уровне прошивки и обходом Secure Boot, HybridPetya демонстрирует, как хакеры экспериментируют с более глубокими и устойчивыми формами взлома.
Это открытие ставит HybridPetya в один ряд с другими продвинутыми буткитами UEFI, такими как BlackLotus. Независимо от того, является ли он активным оружием или просто экспериментальной версией, очевидна тенденция: уязвимости в защите запуска системы всё чаще становятся целями атак, и программы-вымогатели адаптируются для их эксплуатации.
Усам Оздемиров
