12.09.2025
1 хв
496
Дослідники виявили новий варіант шкідливого ПЗ — HybridPetya, який поєднує риси сумнозвісних Petya/NotPetya та можливість обходу UEFI Secure Boot через вразливість CVE-2024-7344. Це робить атаку набагато небезпечнішою, адже вона запускається ще до старту операційної системи.
HybridPetya складається з двох ключових компонентів: завантажувача-bootkit і інсталятора. Bootkit може працювати у трьох станах: «готовий до шифрування», «зашифровано» та «розшифровано після сплати викупу».
Після запуску він шифрує Master File Table (MFT) на NTFS-розділах за допомогою алгоритму Salsa20, а також створює файл-лічильник для відстеження зашифрованих кластерів. На екрані жертви в цей час з’являється підроблене повідомлення CHKDSK, яке маскує процес шифрування.
У разі виявлення вже зашифрованого диска HybridPetya відображає вимогу сплатити 1 000 у Bitcoin $. Після введення правильного ключа bootkit відновлює резервні копії системних завантажувачів і запускає процес розшифрування.
Варіанти HybridPetya були завантажені на VirusTotal ще у лютому 2025 року. Дослідники ESET встановили, що зловмисники використали вразливість CVE-2024-7344 у програмі Howyar Reloader UEFI. Через неї шкідливий код міг завантажуватись із файлу *cloak.dat* без перевірки цілісності, фактично обходячи Secure Boot.
Важливо, що HybridPetya відрізняється від NotPetya тим, що дозволяє відновити ключ для розшифрування, тобто не є суто деструктивним. Водночас він приєднався до невеликої групи шкідливих UEFI bootkit-ів, подібних до BlackLotus та BootKitty, що демонструє зростання інтересу атакуючих до раннього етапу завантаження системи.
Відкриття HybridPetya свідчить: атаки на рівні UEFI більше не є рідкістю. Вони стають дедалі доступнішими як для дослідників, так і для кіберзлочинців. Оскільки шкідливе ПЗ цього типу працює ще до запуску ОС, воно здатне обходити антивірусні рішення та залишатися стійким до видалення. Це означає, що підприємствам потрібно приділяти більше уваги моніторингу низькорівневих загроз і регулярно оновлювати прошивки.
