Código HTML do Conteúdo
Post: O ransomware HybridPetya ignora o UEFI Secure Boot ecoando o Petya/NotPetya
<div>
<div>
<h2>O ransomware HybridPetya ignora o UEFI Secure Boot ecoando o Petya/NotPetya</h2>
<h2>O ransomware HybridPetya ignora o UEFI Secure Boot para infectar partições EFI, ecoando os infames ataques Petya/NotPetya de 2016–2017.</h2>
<p>Os pesquisadores da ESET descobriram um novo ransomware chamado HybridPetya na plataforma VirusTotal. O malware ecoa o infame <a href="https://securityaffairs.com/45678/malware/petya-ransomware.html" target="_blank">Petya</a>/<a href="https://securityaffairs.com/62085/malware/maersk-notpetya-losses.html" target="_blank">NãoPetya</a> malware, suportando recursos adicionais, como comprometer sistemas baseados em UEFI e explorar<a href="https://nvd.nist.gov/vuln/detail/cve-2024-7344" rel="noreferrer noopener" target="_blank">CVE-2024-7344</a>para contornar <a href="https://securityaffairs.com/108367/security/nsa-uefi-secure-boot-customization.html" target="_blank">Inicialização segura UEFI</a> em sistemas desatualizados.</p>
<p><em>“Curiosamente, o código responsável por gerar as chaves de instalação pessoal das vítimas parece ser inspirado no<a href="https://github.com/FirstBlood12/RedPetyaOpenSSL" rel="noreferrer noopener" target="_blank">RedPetyaOpenSSL</a>PoC.” lê o <a href="https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/" target="_blank">relatório</a> publicado pela ESET. “Estamos cientes de pelo menos uma outra reescrita de PoC compatível com UEFI do NotPetya, apelidada de<a href="https://github.com/rdp-studio/NotPetyaAgain" rel="noreferrer noopener" target="_blank">NãoPetyaNovamente</a>, que está escrito em<a href="https://www.rust-lang.org/" rel="noreferrer noopener" target="_blank">Ferrugem</a>; no entanto, esse código não está relacionado ao HybridPetya.”</em></p>
<p>Ao contrário do NotPetya, o HybridPetya atua como um verdadeiro ransomware como o Petya, permitindo a descriptografia. Os pesquisadores suspeitam que a amostra possa estar ligada a um UEFI Petya PoC que foi o primeiro <a href="https://x.com/hasherezade/status/1965389009175412769" target="_blank">Discutido</a> em 9 de setembro de 2025, sugerindo que o HybridPetya pode ser um projeto de pesquisa.</p>
<p>Os pesquisadores da ESET publicaram uma análise técnica dos componentes do HybridPetya, o bootkit e o instalador.</p>
<p>O bootkit UEFI tem duas versões semelhantes. Na execução, ele verifica o sinalizador de criptografia no arquivo de configuração: 0 (pronto), 1 (criptografado) ou 2 (descriptografado). </p>
<p>Se definido como 0, ele extrai uma chave Salsa20 e nonce, zera a chave do arquivo de configuração, define o sinalizador como 1, criptografa o sinalizador <em>‘verificar’</em> e cria um arquivo de contador. O bootkit procura partições NTFS e criptografa a Tabela de Arquivos Mestre. Em seguida, o código malicioso atualiza o arquivo do contador com o número de clusters criptografados e exibe um status CHKDSK falso. Após a criptografia, o malware é reiniciado. Se o disco já estiver criptografado (sinalizador 1), ele mostrará uma nota de resgate e aceitará uma chave de 32 caracteres. </p>
<p>O malware verifica a chave descriptografando o <em>verificar</em> arquivo e, se correto, define o sinalizador como 2 (descriptografado), recupera os carregadores de inicialização e solicita a reinicialização.</p>
<p>Os instaladores do HybridPetya localizam a partição do sistema EFI em discos GPT, removem o carregador de fallback (EFIBootBootx64.efi) e descartam uma configuração de criptografia (EFIMicrosoftBootconfig) contendo a chave Salsa20, nonce e chave vítima, além de um blob de verificação de 0x200 bytes (EFIMicrosoftBootverify) que o bootkit descriptografa posteriormente para validar as chaves inseridas. O instalador faz backup de bootmgfw.efi para bootmgfw.efi.old e, em seguida, força um BSOD (NtRaiseHardError) para que o sistema seja reinicializado no fluxo de inicialização substituído e execute o kit de inicialização.</p>
<p>O HybridPetya é o quarto bootkit UEFI conhecido com bypass Secure Boot, depois de <a href="https://securityaffairs.com/148482/malware/source-code-blacklotus-uefi-bootkit-leaked.html" target="_blank">Lótus Negro</a>, <a href="https://securityaffairs.com/171606/malware/bootkitty-logofail-flaws.html" target="_blank">BootKitty</a>e o <a href="https://github.com/Cr4sh/s6_pcie_microblaze/tree/eef8da94e2eec6d6894370e2216e718931842be4/python/payloads/DmaBackdoorHv#deploying-the-backdoor-using-signed-kaspersky-bootloader" rel="noreferrer noopener" target="_blank">Hyper-V Backdoor PoC</a>(exploração<a href="https://nvd.nist.gov/vuln/detail/CVE-2020-26200" rel="noreferrer noopener" target="_blank">CVE-2020-26200</a>), mostrando que esses ataques estão se tornando mais comuns.</p>
<p><em>“Embora o HybridPetya não esteja se espalhando ativamente, seus recursos técnicos – especialmente criptografia MFT, compatibilidade com sistema UEFI e desvio de inicialização segura – o tornam notável para monitoramento de ameaças futuras.” conclui o relatório.</em></p>
<p>Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a></p>
<p><a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPaganini</a></p>
<p>(<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Segurança</a>–hacking,UEFI)</p>
<hr>
<hr>
</div></div>