Una nueva cepa de ransomware denominada HybridPetya fue capaz de explotar una vulnerabilidad parcheada para evitar la interfaz de firmware extensible unificada (UEFI) Boot seguro en los sistemas de Windows no revocados, lo que lo convierte en el cuarto arranque conocido públicamente capaz de golpear la característica y secuestrar una PC antes de las cargas del sistema operativo. Los investigadores de ESET descubrieron el combo de ransomware-bootkit después de que las muestras se cargaron a Virustotal en febrero, y lo nombraron HybridPetya debido a sus similitudes con las infames cepas de Malware Petya y Notpetya. El lado positivo: el código parece ser solo una prueba de concepto (POC) en este punto, y los cazadores de amenazas dicen que no han visto indicaciones de su uso en la naturaleza. Además, no muestra la misma propagación de red agresiva que NotPetya. Aún así, HybridPetya proporciona otro ejemplo que los omitidos de arranque seguros, que todavía se consideraron una leyenda urbana infosec hasta que existe hace unos años. Y tanto los piratas informáticos éticos como los atacantes están ansiosos por desarrollar nuevas variantes. Como los lectores de Reg no recuerdan: en 2017, el malware denominado NotPetya (porque el malware que limita los datos se disfrazó de ransomware Petya de 2016) explotó en todo el mundo, lo que finalmente costó más de $ 10 mil millones en daños. Tanto Petya como NotPetya también contenían botas que sobrescribían el registro de arranque maestro (MBR) en las computadoras infectadas, lo que permite que el malware bloquee el disco duro completo de las víctimas y evite que el sistema operativo se inicie. El nuevo HybridPetya comparte su comportamiento de bloqueo de disco con sus predecesores y abusa de la vulnerabilidad de la UEFI CVE-2024‑7344, que ESET descubrió y reveló a principios de este año y que Microsoft ha revocado en DBX en máquinas actualizadas. «HybridPetya también es capaz de comprometer los sistemas modernos basados ​​en UEFI al instalar una aplicación EFI maliciosa a la partición del sistema EFI», escribió el investigador de malware de ESET Martin Smolár en un informe del viernes. «La aplicación UEFI implementada es responsable del cifrado del archivo de la tabla de archivos maestro (MFT) relacionado con NTFS, un archivo de metadatos importante que contiene información sobre todos los archivos en la partición formatizada por NTFS». HybridPetya, a diferencia de NotPetya que destruye los datos, también funciona como ransomware. El algoritmo utilizado para generar la clave de instalación personal de la víctima permite al operador de malware reconstruir la clave de descifrado de la clave de instalación personal, y así desbloquear los archivos, en lugar de simplemente limpiarlos. Cómo el BootKit funciona de manera similar a las dos variantes originales de Petya/NotPetya, tras la ejecución, el UEFI Bootkit carga su configuración desde el archivo efimicrosoftbootconfig, y verifica el estado de cifrado actual. Este estado puede tener uno de los tres valores: 0, listo para el cifrado 1, ya encriptado, o 2-Ransom pagado, disco descifrado Si el valor es 0, el Bootkit reescribe el archivo de configuración con el indicador ahora configurado en 1 y cifra el archivo de configuración de configuración de configuración de configuración. También crea el archivo efimicrosoftbootcounter en la partición del sistema EFI: este archivo se utiliza para realizar un seguimiento de los grupos de disco ya cifrados, y comienza el proceso de cifrado de disco, comenzando con la identificación de todas las particiones formatadas en NTFS. El malware también muestra un mensaje falso de Windows «CHKDSK» en la pantalla de la víctima para indicar que el disco está siendo verificado en busca de errores, no se está encriptando. Este mensaje es idéntico a los mostrados en Notpetya y Petya. Mientras tanto, si el disco ya está encriptado (por lo que el valor del indicador de cifrado se establece en 1), el Bootkit continúa con una nota de rescate de que, al igual que la NotPetya original, comienza: «Ooops, sus archivos importantes están encriptados». Luego instruye a la víctima que envíe $ 1,000 en Bitcoin a una billetera ahora vacía (34UNKKSGZZVF5AYBJKUA2YYYZW89ZLWXU2) para comprar el descifrador. Una vez que la víctima ingresa a la clave correcta, verificada por el Bootkit, luego procede a descifrar el disco y registrar los cargadores de arranque legítimos desde un archivo de copia de seguridad creado durante el proceso de instalación. Después de que se haya completado eso, el Bootkit le pide a la víctima que reinicie el dispositivo y asumiendo que todo funcionó, el sistema operativo debería comenzar nuevamente. «Aunque HybridPetya no se está extendiendo activamente, sus capacidades técnicas, especialmente el cifrado MFT, la compatibilidad del sistema UEFI y el bypass de arranque seguro, lo hacen notable para el monitoreo de amenazas futuras», escribió Smolár. El descubrimiento de HybridPetya sigue otros tres derivaciones de arranque seguras reales o POC. Smolár escribió sobre el primero, Blacklotus, en 2023 después de que el investigador de seguridad principal de Kaspersky, Sergey Lozhkin, vio por primera vez que se vendía en los mercados de delitos cibernéticos un año antes. En noviembre pasado, ESET también vio un Bootkit dirigido a los sistemas Linux denominados Bootkitty después de que se cargó a Virustotal. ESET también cuenta el POC de trasero Hyper-V, que explotó CVE-2020‑26200, entre los cuatro botines documentados. ® URL de publicación original: https://go.theeregister.com/feed/www.theregister.com/2025/09/12/Hopefly_Just_A_Poc_HyBridPetya/