Обнаружен вирус-вымогатель HybridPetya с обходом функции безопасной загрузки UEFI

Исследователи кибербезопасности компании ESET обнаружили программу-вымогатель HybridPetya, которая способна обходить функцию безопасной загрузки UEFI, устанавливая вредоносное приложение в системный раздел EFI.

Похоже, HybridPetya создали, опираясь на вредоносное ПО Petya/NotPetya, которое шифровало компьютеры и блокировало загрузку Windows в ходе атак 2016 и 2017 годов, но не предоставляло возможности восстановления систем.

Исследователи обнаружили образец HybridPetya на сайте VirusTotal. Они отмечают, что это может быть исследовательский проект, прототип или ранняя версия инструмента для киберпреступников, всё ещё проходящая ограниченное тестирование.

HybridPetya сочетает в себе характеристики Petya и NotPetya, включая визуальный стиль и цепочку атак этих старых вредоносных программ. Однако разработчик добавил новые возможности, такие как установка в системный раздел EFI и возможность обхода Secure Boot с помощью эксплуатации уязвимости CVE-2024-7344.

ESET обнаружила уязвимость в январе этого года. Проблема заключается в приложениях, подписанных Microsoft, которые могут быть использованы для развёртывания буткитов даже при активной защите Secure Boot на целевой машине. При запуске HybridPetya определяет, использует ли хост UEFI с разделами GPT, и помещает вредоносный буткит в системный раздел EFI, состоящий из нескольких файлов. К ним относятся файлы конфигурации и проверки, модифицированный загрузчик, резервный загрузчик UEFI, контейнер полезной нагрузки эксплойта и файл состояния, отслеживающий ход шифрования.

ESET перечисляет следующие файлы, используемые в проанализированных вариантах HybridPetya:

\EFI\Microsoft\Boot\config (флаг шифрования + ключ + одноразовое значение + идентификатор жертвы);

\EFI\Microsoft\Boot\verify