A fines de julio de 2025, una serie de muestras de ransomware surgieron en Virustotal bajo los nombres de archivo que hace referencia a los notorio ataques de Petya y Notpetya.
A diferencia de sus predecesores, esta nueva amenaza, dudada hybridpetya por analistas de ESET, exhibió capacidades que se extendieron más allá de la ejecución convencional de Userland, dirigiendo directamente al firmware de UEFI en sistemas vulnerables.
A través de una capa especialmente diseñada. Archivo de Dat y la explotación de CVE-2024-7344, HybridPetya logra un bypass de arranque seguro en plataformas obsoletas, lo que le permite instalar una aplicación EFI maliciosa en la partición del sistema EFI.
La emergencia de HybridPetya marca una evolución significativa en el diseño de Bootkit. El malware aprovecha una arquitectura de doble componente: un instalador basado en Windows y un Bootkit EFI.
Tras la implementación, el instalador localiza la partición del sistema EFI, hace una copia de seguridad de los cargadores de arranque legítimos, deja caer un archivo de configuración cifrado con salsa20 (\ Efi \ Microsoft \ Boot \ config) y planta una matriz de verificación cifrada (\ efi \ Microsoft \ Boot \ Verify).
Descripción general de la lógica de ejecución de HybridPetya (Fuente – Welivesecuity)
Un BSOD activado luego obliga al sistema a volver a cargar a través del cargador de arranque comprometido, activando el componente EFI al siguiente inicio.
Investigadores de ESET identificado que HybridPetya admite sistemas Legacy y UEFI; Sin embargo, su verdadera innovación radica en evitar el arranque UEFI Secure a través de la vulnerabilidad CVE-2024-7344.
En los sistemas afectados que carecen de la actualización DBX de Microsoft en enero de 2025, la aplicación Maliciosa Reloader.efi se disfraza de un binario confiable firmado por Microsoft.
Cuando se ejecuta, trata el archivo de Cloak.dat que acompaña como una carga útil legítima, cargando y ejecutando el botín EFI Obfuscado XOR sin verificación de firma.
Código descompilado de rayos hexadecimales para identificación de partición NTFS (fuente-Welives -Curity)
Esta técnica refleja el método de explotación detallado por ESET en informes de asesoramiento anteriores, aunque armado en un marco de ransomware.
Una vez que el EFI Bootkit gana control durante la fase Pre-OS, lee su indicador de configuración y cifrado.
Si el indicador está configurado en “listo para el cifrado”, el BootKit extrae la clave y nonce salsa20, reescribe el indicador de configuración y cifra la tabla de archivos maestros de NTFS (MFT) en todas las particiones detectadas.
Durante este proceso, se muestra a la víctima un mensaje engañoso de progreso similar a Chkdsk a la víctima, enmascarando la actividad maliciosa.
Mensaje de chkdsk falso mostrado por HybridPetya durante el cifrado de disco (fuente – Welives -Busity)
Después de que se complete el cifrado, el sistema se reinicia, presentando una nota de rescate de estilo NotPetya.
Mecanismo de infección y persistencia
El mecanismo de infección de HybridPetya depende de la interacción entre su instalador de Windows y UEFI Bootkit.
El instalador comienza llamando al API nativo ntraisehardError para inducir un cierre, asegurando que el cargador de arranque malicioso se ejecute en reiniciar:-
NtraiseHardError (status_host_down, 0, 0, null, opcionshutdownsystem, & respuesta);
Este truco de bloqueo garantiza que el componente UEFI se ejecuta bajo la aplicación segura de arranque, o, en el caso de sistemas obsoletos, el arranque seguro.
Al reiniciar, la aplicación EFI localiza \ Efi \ Microsoft \ Boot \ config, examina el indicador de cifrado y se ramifica en la lógica de cifrado o descifrado.
Para el descifrado, la víctima debe ingresar una clave de 32 caracteres; El EFI Bootkit luego descifra el archivo Verify y, si el texto sin formato coincide con una serie de 0x07 bytes, procede a restaurar los cargadores de arranque MFT y legítimos desde sus copias de seguridad .old.
Al integrar esta persistencia directamente en la capa de firmware, HybridPetya asegura que el ransomware no pueda eliminarse mediante herramientas de remediación de nivel de sistema operativo estándar, elevando su resistencia y enmarcarlo como un hito en las amenazas dirigidas a firmware.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
