Investigadores de ciberseguridad han descubierto una nueva variante de ransomware llamada HybridPetya, que recuerda al conocido malware Petya/NotPetya. Lo más preocupante es su capacidad para evadir el mecanismo Secure Boot en sistemas UEFI (Unified Extensible Firmware Interface) aprovechando la vulnerabilidad CVE-2024-7344, que ya ha sido parcheada.
Según la empresa eslovaca de ciberseguridad ESET, muestras de este ransomware fueron subidas a VirusTotal en febrero de 2025. HybridPetya cifra la Master File Table (MFT), que contiene metadatos críticos sobre todos los archivos en particiones con formato NTFS. A diferencia del Petya/NotPetya original, HybridPetya puede comprometer sistemas UEFI modernos instalando una aplicación EFI maliciosa en la partición del sistema EFI.
En esencia, la aplicación UEFI desplegada es el componente central que se encarga de cifrar la MFT. El ransomware se compone de dos partes principales: un bootkit y un instalador. El bootkit, desplegado por el instalador, carga su configuración y verifica el estado de cifrado. Dependiendo de este estado (listo para cifrar, ya cifrado o rescate pagado y disco descifrado), procede a cifrar el archivo \EFI\Microsoft\Boot\verify utilizando el algoritmo Salsa20, y crea un archivo llamado \EFI\Microsoft\Boot\counter en la partición EFI.
Mientras la víctima observa un falso mensaje de CHKDSK, el sistema está siendo cifrado. Si el bootkit detecta que el disco ya está cifrado, muestra una nota de rescate exigiendo $1,000 en Bitcoin a una dirección específica. La nota también ofrece la opción de ingresar una clave de descifrado comprada a los atacantes.
Una característica distintiva es que HybridPetya, a diferencia de NotPetya, permite reconstruir la clave de descifrado a partir de las claves de instalación personales de la víctima.
ESET no ha encontrado evidencia de que HybridPetya se esté utilizando activamente. Sin embargo, destaca el descubrimiento reciente de una prueba de concepto (PoC) de UEFI Petya, lo que podría indicar una relación entre ambos. HybridPetya se une a BlackLotus, BootKitty y Hyper-V Backdoor PoC como ejemplos de bootkits UEFI con funcionalidad de bypass de Secure Boot.
El hecho de que las modificaciones al bootloader puedan causar un pantallazo azul asegura que el bootkit se ejecute al reiniciar el dispositivo. Variantes específicas de HybridPetya explotan la vulnerabilidad CVE-2024-7344 en la aplicación Howyar Reloader UEFI. Microsoft ya ha revocado el binario vulnerable mediante una actualización de seguridad.
El investigador FFRI Security Kazuki Matsuo ha detallado una técnica llamada Shade BIOS, que permite que el malware opere independientemente del sistema operativo.
En INGENIERÍA TELEMÁTICA SAS, estamos comprometidos con la seguridad de su infraestructura. La aparición de amenazas como HybridPetya, que atacan directamente el firmware UEFI, subraya la importancia de una estrategia de ciberseguridad multicapa que incluya soluciones de EDR/XDR, gestión de vulnerabilidades y un SOC robusto. Si desea proteger su organización contra las últimas amenazas, incluyendo ransomware sofisticado y ataques a nivel de firmware, contáctenos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente. Nuestros servicios de firewall, FortiAnalyzer, FortiManager, FortiSwitch, FortiAP, protección de correo electrónico, soluciones de nube segura, y soluciones de DRP y respaldo están diseñados para brindarle la tranquilidad que necesita en un panorama de amenazas en constante evolución.
Fuente original: Ver aquí