HybridPetya, il ransomware che può aggirare UEFI Secure Boot sfruttando una falla di Windows

Un nuovo ransomware denominato HybridPetya è stato individuato dai ricercatori di ESET all’interno di un campione caricato su VirusTotal. Questa variante, chiaramente ispirata ai famigerati e distruttivi ceppi Petya e NotPetya, ha mostrato la capacità di superare la protezione offerta da UEFI Secure Boot e insediarsi direttamente nella EFI System Partition.

HybridPetya potrebbe non essere ancora un malware pienamente operativo e trattarsi di un progetto di ricerca, di un proof-of-concept o comunque di una versione preliminare usata per test limitati. In ogni caso non si tratta di una manifestazione da sottovalutare: la sua comparsa rappresenta un ulteriore segnale di come i bootkit con capacità di bypassare Secure Boot, come già avvenuto con campioni quali BlackLotus, BootKitty o Hyper-V Backdoor, costituiscano una minaccia reale in continua evoluzione.

HybridPetya si ispira alle catene d'attacco mostrate da Petya e NotPetya, con l'introduzione di alcune significative novità: l’installazione nella partizione EFI e l’uso della vulnerabilità CVE-2024-7344, legata a un problema nei certificati Microsoft che consentivano di avviare bootkit anche con Secure Boot attivo. Questa falla, che Microsoft ha comunque già corretto con il Patch Tuesday di gennaio 2025, offre al ransomware un canale privilegiato per il suo insediamento in quei sistemi non ancora aggiornati.

Nel momento dell’esecuzione, HybridPetya verifica se il sistema usa UEFI con partizionamento GPT e procede a collocare un bootkit malevolo composto da vari file, inclusi un bootloader modificato, un caricatore UEFI di "scorta", un contenitore di payload e un file di stato per monitorare il processo di cifratura. Il bootloader originale di Windows viene comunque salvato per poter essere ripristinato nel caso in cui la vittima decida di pagare il riscatto.

Il ransomware provoca quindi un finto BSOD, esattamente come nel caso di Petya, forzando un riavvio che permette al bootkit di entrare in azione. A questo punto viene avviata la cifratura di tutti i cluster MFT mediante chiave Salsa20, accompagnata da un falso messaggio CHKDSK simile a quello impiegato da NotPetya. Al termine del processo un secondo riavvio propone la schermata con la richiesta di riscatto: 1.000 dollari in Bitcoin per ricevere una chiave di 32 caratteri che consente di decifrare i dati e ripristinare il bootloader originale.

Al momento, HybridPetya non è stato osservato in attacchi reali su larga scala, ma i ricercatori sottolineano che anche proof of concept o ransomware "embrionali" potrebbero essere facilmente riutilizzate e rese operative in campagne mirate contro sistemi Windows non aggiornati.

I sistemi che hanno già installato le patch di sicurezza Microsoft successive a gennaio 2025 risultano protetti da HybridPetya. Rimane comunque fondamentale approntare una adeguata strategia di backup, dal momento che il mantenimento aggiornato di copie dei dati più importanti, meglio se in sistemi offline, è una delle forme più efficaci per neutralizzare l'impatto di un attacco ransomware. Sul repositiry GitHub di Eset sono stati pubblicati gli indicatori di compromissione di HybridPetya.