Una cepa de ransomware recientemente identificada llamada HybridPetya ha aparecido en la plataforma Virustotal. Subido en febrero de 2025, la muestra se mostró bajo los nombres de archivo que sugiere un enlace al brote destructivo de NotPetya. El malware comparte similitudes sustanciales con Petya y NotPetya, pero agrega nuevas capacidades que lo hacen destacar, incluida la capacidad de comprometer los sistemas basados ​​en UEFI. HybridPetya se dirige a las particiones NTFS cifando la tabla de archivos maestros (MFT), un componente central que mapea las ubicaciones de los archivos almacenados. A diferencia de NotPetya, que infligió más de $ 10 mil millones en daños globales en 2017 al hacer que la recuperación sea imposible, HybridPetya permite a las víctimas restaurar el acceso si se suministra la clave de descifrado correcta. Esto hace que se comporte más como ransomware convencional. El análisis muestra que el malware instala una aplicación EFI maliciosa en la partición del sistema EFI, asegurando la persistencia en un nivel más profundo que el sistema operativo. En una versión, HybridPetya también explota CVE-2024-7344. Esta falla permite a los atacantes evitar el arranque UEFI Secure en sistemas no parpadeados cargando un archivo Cloak.dat específicamente diseñado a través de una aplicación de Microsoft firmada pero vulnerable. Algunos rasgos definitorios de hybridpetya incluyen: cifrado de la tabla de archivos maestros de NTFS con la instalación del algoritmo Salsa20 de un botín UEFI que se ejecuta antes de que Windows cargue la explotación de la explotación de cVe-2024-7344 para deshabilitar las protecciones seguras de la recuperación de datos cuando se ingresa la clave de descripción que se ingresa lectura más en UEFI Secure Boot bypasses: La investigación de UEFI eset, que analizó las muestras, no ha encontrado evidencia de que HybridPetya se esté extendiendo activamente. A diferencia de NotPetya, no contiene un código de autopropagación diseñado para saltar a través de las redes. Aún así, sus características técnicas son significativas. Al combinar funciones de ransomware con persistencia a nivel de firmware y un bypass de arranque seguro, HybridPetya demuestra cómo los atacantes están experimentando con formas de compromiso más profundas y resistentes. El Discovery coloca a HybridPetya junto con otros botines UEFI avanzados como Blacklotus. Ya sea que demuestre ser un arma activa o simplemente una prueba de concepto, subraya una tendencia: las debilidades en las protecciones de inicio del sistema están cada vez más dirigidas y el ransomware se está adaptando a explotarlas.