Исследователи ESET сообщили об обнаружении нового штамма программы-вымогателя HybridPetya, который может обойти функцию безопасной загрузки UEFI и установить вредоносное приложение в системный раздел EFI.

HybridPetya создан по мотивам известного вредоносного ПО Petya/NotPetya, атаки которого в 2016 и 2017 гг. приводили к шифрованию систем Windows без возможности восстановления.

Образец нового штамма удалось выявить на VirusTotal и, по всей видимости, это прототип или тестовая версия нового хакерского инструмента.

Тем не менее, ESET полагают, что его появление является еще одним примером (наряду с BlackLotus, BootKitty и Hyper-V Backdoor) реальных угроз, связанных с все более широким задействованием буткитов UEFI с функцией безопасного обхода.

HybridPetya сочетает в себе характеристики Petya и NotPetya, включая визуальный стиль и цепочку атак этих старых штаммов вредоносного ПО.

Однако разработчик добавил новые возможности: установку в системный раздел EFI и возможность обойти безопасную загрузку путем эксплуатации уязвимости CVE-2024-7344.

ESET обнаружила уязвимость еще в январе этого года. Проблема заключается в подписанных Microsoft приложениях, которые могут быть использованы для развертывания буткитов даже при активной защите Secure Boot на целевой системе.

При запуске HybridPetya определяет, использует ли хост UEFI с разделами GPT, и помещает вредоносный буткит, состоящий из нескольких файлов, в системный раздел EFI.

К ним относятся файлы конфигурации и проверки, модифицированный загрузчик, резервный загрузчик UEFI, контейнер полезной нагрузки эксплойта и файл состояния, отслеживающий ход шифрования.

Кроме того, вредоносная ПО заменяет \EFI\Microsoft\Boot\bootmgfw.efi на уязвимый reloader.efi и удаляет \EFI\Boot\bootx64.efi.

Оригинальный загрузчик Windows также сохраняется для активации в случае успешного восстановления, что означает, что жертва заплатила выкуп.

После развертывания HybridPetya вызывает BSOD, отображающий ложную ошибку, как это делал Petya, и принудительно перезапускает систему, позволяя вредоносному буткиту запуститься при загрузке системы.

На этом этапе он шифрует все кластеры MFT, используя ключ Salsa20 и одноразовый код, извлеченные из файла конфигурации, одновременно отображая поддельное сообщение CHKDSK, как NotPetya.

После завершения шифрования происходит еще одна перезагрузка, и во время загрузки системы жертве демонстрируется записка с требованием выплатить выкуп в размере 1000 долларов США в биткоинах.

В обмен жертве предоставляется 32-значный ключ, который можно ввести на экране с требованием выкупа. Он восстанавливает оригинальный загрузчик, расшифровывает кластеры и предлагает пользователю перезагрузить компьютер.

Пока что HybridPetya не был замечен ни в одной реальной атаке, однако в перспективе от PoC он вполне может перейти в широкомасштабные кампании, нацеленные на непатченные системы Windows.

Индикаторы компрометации доступны на  репозитории на GitHub, а CVE-2024-7344 закрыта Microsoft в рамках январского PatchTuesday.