HybridPetya cifra la Master File Table e può compromettere i sistemi moderni basati su UEFI installando un’applicazione EFI malevola. Una variante sfrutta la vulnerabilità CVE-2024-7344 per bypassare il Secure Boot con un file cloak.dat. Non ci sono evidenze di utilizzo attivo nel mondo reale
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto un bootkit e ransomware denominato HybridPetya, caricato dalla Polonia sulla piattaforma di scansione malware VirusTotal. Il campione è un’imitazione del famigerato Petya/NotPetya; tuttavia, aggiunge la capacità di compromettere i sistemi basati su UEFI e di sfruttare la vulnerabilità CVE-2024-7344 per bypassare il Secure Boot UEFI sui sistemi non aggiornati.
“Alla fine di luglio 2025 abbiamo individuato campioni sospetti di ransomware con diversi nomi file, tra cui notpetyanew.exe e altri simili, che suggerivano un legame con il malware estremamente distruttivo che colpì l’Ucraina e numerosi altri Paesi nel 2017. L’attacco NotPetya è ritenuto il più distruttivo della storia, con danni complessivi superiori ai 10 miliardi di dollari. Per via delle caratteristiche comuni tra i nuovi campioni e sia Petya che NotPetya, abbiamo deciso di chiamare questo nuovo malware HybridPetya”, spiega Martin Smolár, ricercatore ESET che ha effettuato la scoperta.
L’algoritmo utilizzato per generare la chiave di installazione personale della vittima, a differenza dell’originale NotPetya, consente all’operatore del malware di ricostruire la chiave di decrittazione a partire dalle chiavi personali delle vittime. In questo modo, HybridPetya rimane utilizzabile come ransomware tradizionale – più simile a Petya. Inoltre, HybridPetya è anche in grado di compromettere i moderni sistemi basati su UEFI installando un’applicazione EFI malevola sulla EFI System Partition. L’applicazione UEFI distribuita è quindi responsabile della cifratura della Master File Table (MFT) – un file di metadati fondamentale che contiene le informazioni relative a tutti i file presenti sulla partizione NTFS.
“Approfondendo l’analisi, abbiamo scoperto su VirusTotal qualcosa di ancora più interessante: un archivio contenente l’intero contenuto della EFI System Partition, compresa un’applicazione UEFI HybridPetya molto simile, ma questa volta integrata in un file cloak.dat appositamente formattato, vulnerabile alla CVE-2024-7344 – la falla di bypass del Secure Boot UEFI che il nostro team ha reso nota a inizio 2025”, aggiunge Smolár. “Nelle pubblicazioni ESET di gennaio 2025 avevamo volutamente evitato di fornire i dettagli relativi allo sfruttamento; è quindi probabile che l’autore del malware abbia ricostruito il formato corretto del file cloak.dat attraverso attività di reverse engineering dell’applicazione vulnerabile”.
La telemetria ESET non mostra ancora alcun utilizzo attivo di HybridPetya nel mondo reale; potrebbe dunque trattarsi di un proof of concept sviluppato da un ricercatore di sicurezza o da un attore sconosciuto. Inoltre, questo malware non presenta le funzionalità di propagazione aggressiva in rete tipiche del NotPetya originale.
Per un’analisi più approfondita e dettagli tecnici su HybridPetya, è disponibile l’ultimo articolo di ESET Research sul blog WeLiveSecurity: “Introducing HybridPetya: Petya/NotPetya copycat with UEFI Secure Boot bypass“. Gli aggiornamenti di ESET Research possono essere seguiti anche su Twitter (oggi X), BlueSky e Mastodon.
