Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominado HybridPetya que se asemeja al notorio malware Petya/Notpetya, al tiempo que incorpora la capacidad de evitar el mecanismo de arranque seguro en sistemas de interfaz de firmware extensible unificados (UEFI) utilizando una vulnerabilidad ahora cortada que se describe este año. La compañía de ciberseguridad eslovaco, ESET, dijo que las muestras se cargaron en la plataforma Virustotal en febrero de 2025. «HybridPetya cifra la tabla de archivos maestros, que contiene metadatos importantes sobre todos los archivos en particiones conformadas con NTFS», dijo el investigador de seguridad Martin Smolár. «A diferencia del Petya/Notpetya original, HybridPetya puede comprometer los sistemas modernos basados ​​en UEFI al instalar una aplicación EFI maliciosa en la partición del sistema EFI». En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de encriptar el archivo de la tabla de archivos maestros (MFT), que contiene metadatos relacionados con todos los archivos en la partición formatizada por NTFS. HybridPetya viene con dos componentes principales: un botín y un instalador, con el primero apareciendo en dos versiones distintas. El BootKit, que implementa el instalador, es el principal responsable de cargar su configuración y verificar su estado de cifrado. Puede tener tres valores diferentes – 0 – Listo para el cifrado 1 – ya encriptado y 2 – Ransom pagado, disco descifrado si el valor se establece en 0, procede establecer el indicador en 1 y cifra el archivo \ efi \ Microsoft \ Boot \ Verify con el Algorith de cifrado Salsa20 utilizando la clave y no especificada en la configuración. También crea un archivo llamado «\ Efi \ Microsoft \ Boot \ Counter» en la partición del sistema EFI antes de iniciar el proceso de cifrado de disco de todas las particiones formatadas en NTFS. El archivo se utiliza para realizar un seguimiento de los grupos de disco ya cifrados. Además, el Bootkit actualiza el mensaje FALSO CHKDSK que se muestra en la pantalla de la víctima con información sobre el estado de cifrado actual, mientras que la víctima se engaña al pensar que el sistema está reparando errores de disco. Si el Bootkit detecta que el disco ya está encriptado (es decir, el indicador está configurado en 1), sirve una nota de rescate a la víctima, exigiéndoles que envíen $ 1,000 en bitcoin a la dirección de billetera especificada (34UNKKSGZZVF5AYBJKUA2YYYYZW89ZLWXU2). La billetera está actualmente vacía, aunque ha recibido $ 183.32 entre febrero y mayo de 2025. La pantalla Ransom Note también proporciona una opción para que la víctima ingrese la clave de engaño comprada desde el operador después de realizar el pago, después de la cual el Bootkit verifica la clave e intenta descifrar el archivo «EFI \ Microsoft \ Boot \ Verify». En caso de que se ingrese la clave correcta, el valor del indicador se establece en 2 y inicia el paso de descifrado leyendo el contenido del archivo «\ Efi \ Microsoft \ Boot \ contador». «El descifrado se detiene cuando el número de grupos descifrados es igual al valor del contador», dijo Smolár. «Durante el proceso de descifrado de MFT, el BootKit muestra el estado del proceso de descifrado actual». La fase de descifrado también implica que el BootKit que recupere los cargadores de arranque legítimos – «\ Efi \ Boot \ Bootx64.efi» y «\ Efi \ Microsoft \ Boot \ Bootmgfw.efi» – de las copias de seguridad previamente creadas durante el proceso de instalación. Una vez que se completa este paso, se le solicita a la víctima que reinicie su máquina Windows. Vale la pena señalar que los cambios en el cargador de arranque iniciados por el instalador durante la implementación del componente de Bootkit de UEFI desencadenan un bloqueo del sistema (también conocido como pantalla azul de muerte o BSOD) y asegura que el binario Bootkit se ejecute una vez que el dispositivo se enciende. Se ha encontrado que las variantes seleccionadas de HybridPetya, ESET, se han encontrado para explotar CVE -2024‑7344 (puntaje CVSS: 6.7), una vulnerabilidad de ejecución de código remoto en la aplicación HowYar Reloader UEFI («Reloader.efi», renombrado en el Artifact en el Artifact como «\ Efi \ Microsoft \ Bootmgfw.efi») que puede dar como resultado un arte de arranque en el arte. La variante también incluye un archivo especialmente elaborado llamado «Cloak.dat», que se puede cargar a través de reloader.efi y contiene el binario de Bootkit xored. Desde entonces, Microsoft ha revocado el antiguo y vulnerable binario como parte de su actualización del martes de parche para la actualización de enero de 2025. «Cuando el binario reloader.efi (implementado como bootmgfw.efi) se ejecuta durante el arranque, busca la presencia del archivo Cloak.dat en la partición del sistema EFI, y carga la aplicación UEFI integrada desde el archivo de una manera muy insegura, completamente insegura cualquier verificación de integridad, pasando por el arranque de UEFI», dijo Eset. Otro aspecto en el que hybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este último, el artefacto recién identificado permite a los actores de amenaza reconstruir la clave de descifrado de las claves de instalación personal de la víctima. Los datos de telemetría de ESET no indican evidencia de que se use HybridPetya en la naturaleza. La compañía de ciberseguridad también señaló el reciente descubrimiento de una prueba de concepto de UEFI Petya (POC) por parte del investigador de seguridad Aleksandra «Hasherezade» Doniec, y agregó que es posible que pueda haber «alguna relación entre los dos casos». Sin embargo, no descarta la posibilidad de que HybridPetya también sea un POC. «HybridPetya ahora es al menos el cuarto ejemplo públicamente conocido de un Bootkit UEFI real o de prueba de concepto con la funcionalidad de bypass de arranque segura de UEFI, uniendo BlackLotus (explotando CVE-2022‑21894), bootkitty (explotando logofail) y el hyper-v retroceso (explotando CVE-2020-26200),» Said. «Esto muestra que las derivaciones seguras de arranque no son solo posibles: se están volviendo más comunes y atractivos tanto para los investigadores como para los atacantes».