Исследователи кибербезопасности компании ESET обнаружили программу-вымогатель HybridPetya, которая способна обходить функцию безопасной загрузки UEFI, устанавливая вредоносное приложение в системный раздел EFI.
Похоже, HybridPetya создали, опираясь на вредоносное ПО Petya/NotPetya, которое шифровало компьютеры и блокировало загрузку Windows в ходе атак 2016 и 2017 годов, но не предоставляло возможности восстановления систем.
Исследователи обнаружили образец HybridPetya на сайте VirusTotal. Они отмечают, что это может быть исследовательский проект, прототип или ранняя версия инструмента для киберпреступников, всё ещё проходящая ограниченное тестирование.
HybridPetya сочетает в себе характеристики Petya и NotPetya, включая визуальный стиль и цепочку атак этих старых вредоносных программ. Однако разработчик добавил новые возможности, такие как установка в системный раздел EFI и возможность обхода Secure Boot с помощью эксплуатации уязвимости CVE-2024-7344.
ESET обнаружила эту уязвимость в январе этого года. Проблема заключается в приложениях, подписанных Microsoft, которые могут быть использованы для развёртывания буткитов даже при активной защите Secure Boot на целевой машине. При запуске HybridPetya определяет, использует ли хост UEFI с разделами GPT, и помещает вредоносный буткит в системный раздел EFI, состоящий из нескольких файлов. К ним относятся файлы конфигурации и проверки, модифицированный загрузчик, резервный загрузчик UEFI, контейнер полезной нагрузки эксплойта и файл состояния, отслеживающий ход шифрования.
ESET перечисляет следующие файлы, используемые в проанализированных вариантах HybridPetya:
EFIMicrosoftBootconfig (флаг шифрования + ключ + одноразовое значение + идентификатор жертвы);
EFIMicrosoftBootverify (используется для проверки корректности ключа расшифровки);
EFIMicrosoftBootcounter (отслеживатель хода выполнения для зашифрованных кластеров);
EFIMicrosoftBootbootmgfw.efi.old (резервная копия исходного загрузчика);
EFIMicrosoftBootcloak.dat (содержит XOR-код буткита в варианте обхода Secure Boot).
Кроме того, вредоносная программа заменяет EFIMicrosoftBootbootmgfw.efi уязвимым файлом «reloader.efi» и удаляет EFIBootbootx64.efi. Исходный загрузчик Windows также сохраняется для активации в случае успешного восстановления. Это означает, что жертва заплатила выкуп.
После внедрения HybridPetya вызывает синий экран смерти (BSOD) с ложной ошибкой, подобно Petya, и принудительно перезагружает систему, позволяя вредоносному буткиту запуститься при этом процессе.
На данном этапе программа-вымогатель шифрует все кластеры MFT, используя ключ Salsa20 и одноразовый код, извлечённый из файла конфигурации, одновременно выводя поддельное сообщение CHKDSK, подобное NotPetya. После завершения шифрования запускается ещё одна перезагрузка, и во время загрузки системы жертве выдаётся сообщение с требованием выкупа в размере $1000 в биткойнах. Взамен ей предоставляется 32-символьный ключ, который можно ввести на экране с требованием выкупа, восстановить исходный загрузчик и расшифровать кластеры.
Хотя HybridPetya не замечали в реальных атаках, аналогичные проекты могут в любой момент использовать PoCв масштабных кампаниях, нацеленных на необновлённые системы Windows. Индикаторы взлома, помогающие защититься от этой угрозы, доступны в репозитории GitHub. Microsoft исправила уязвимость CVE-2024-7344 в январе 2025 года.
Ещё один способ борьбы с программами-вымогателями — хранить автономные резервные копии наиболее важных данных.
Источник: habr.com