HybridPetya: Novo ransomware ignora a inicialização segura da UEFI

Pesquisadores de segurança cibernética da empresa eslovaca ESET identificaram uma nova e perigosa variante de ransomware, batizada de HybridPetya. Esse novo malware, que lembra o infame Petya e NotPetya, se destaca por uma capacidade alarmante: ele é capaz de ignorar o mecanismo de inicialização segura (UEFI Secure Boot) para infectar sistemas, usando uma vulnerabilidade já corrigida pela Microsoft, a CVE-2024-7344.

De acordo com a ESET, as primeiras amostras do HybridPetya foram vistas na plataforma VirusTotal em fevereiro de 2025. O ataque se concentra na criptografia da Tabela Mestra de Arquivos (MFT), uma estrutura crucial que contém metadados sobre todos os arquivos em partições formatadas em NTFS. A principal inovação do HybridPetya, em comparação com seus antecessores, é a sua capacidade de comprometer sistemas baseados em UEFI, instalando um aplicativo EFI malicioso na partição do sistema.

Como o HybridPetya Atua

O ransomware opera com dois componentes principais: um instalador e um bootkit (uma versão de software malicioso que afeta o processo de inicialização de um sistema operacional). O instalador é responsável por implantar o bootkit, que por sua vez, carrega sua configuração e gerencia o status de criptografia. A atuação do malware se divide em três fases principais:

1. Criptografia: O bootkit se prepara para criptografar o disco, definindo um status de "pronto". Ele inicia o processo criptografando o arquivo de verificação de inicialização e criando um arquivo de contador. O malware então começa a criptografar todas as partições NTFS enquanto exibe uma falsa mensagem de verificação de disco (CHKDSK), enganando a vítima.

2. Pedido de Resgate: Se o disco já estiver criptografado, o ransomware exibe uma nota de resgate exigindo US$ 1.000 em Bitcoin. A carteira de Bitcoin, embora tenha recebido um pequeno valor no passado, está vazia no momento, segundo a ESET. A nota também oferece um campo para inserir uma chave de descriptografia, que seria fornecida após o pagamento.

3. Descriptografia: Caso a chave correta seja inserida, o bootkit inicia a descriptografia. Ele recupera os arquivos de inicialização legítimos a partir de backups feitos anteriormente e, ao final do processo, pede que a vítima reinicie o computador.

Ameaça e Vulnerabilidade da UEFI

Um dos aspectos mais sofisticados do HybridPetya é sua capacidade de usar a vulnerabilidade CVE-2024-7344. A falha, localizada em um aplicativo da UEFI chamado "reloader.efi", permite que o ransomware ignore as verificações de integridade da inicialização segura. O instalador altera os bootloaders, o que força um erro de sistema (Tela Azul da Morte - BSoD) e garante que o bootkit seja executado na próxima vez que o sistema for ligado. A Microsoft já corrigiu essa vulnerabilidade na atualização de janeiro de 2025, revogando o binário vulnerável.

A ESET ressaltou que, diferentemente do NotPetya, o HybridPetya permite que os hackers recuperem a chave de descriptografia. Felizmente, até o momento, não há evidências de que o HybridPetya esteja sendo usado em ataques reais, o que sugere que ele pode ser uma prova de conceito (PoC) e não uma ameaça ativa e em grande escala. No entanto, sua existência é um sinal preocupante.

O HybridPetya é o quarto exemplo público de um bootkit UEFI ou PoC com capacidade de burlar a inicialização segura, juntando-se a outros nomes notórios como BlackLotus, BootKitty e Hyper-V Backdoor PoC. Isso demonstra que as defesas da UEFI, embora robustas, não são impenetráveis, e que os hackers estão cada vez mais focados em explorar essas vulnerabilidades para lançar ataques mais destrutivos.

Via - THN