ESET-Forscher haben einen neuen Ransomware-Prototyp namens HybridPetya auf VirusTotal identifiziert, der Techniken von Petya/NotPetya mit UEFI-Bootkit-Funktionalität kombiniert. Obwohl der Fund vermutlich ein Proof-of-Concept oder eine frühe Testversion ist, demonstriert die Malware bereits einen funktionsfähigen Secure-Boot-Bypass und damit ein hochrisikoreiches Angriffsmodell für ungepatchte Windows-Umgebungen.
Herkunft und Taktiken: Anleihen bei Petya/NotPetya, erweitert um UEFI-Persistenz
HybridPetya übernimmt die vertraute NotPetya-Inszenierung: erzwungene Neustarts, gefälschte CHKDSK-Bildschirme und die Tarnung der Verschlüsselung als Systemprüfung. Analog zu Petya verlagert die Malware ihre Wirkung in die frühe Bootphase, was herkömmliche EDRs erschwert. Neu ist die erweiterte UEFI-Persistenz, die Sichtbarkeit reduziert und die Wiederherstellung behindern kann.
Secure-Boot-Umgehung über CVE-2024-7344
Kern der Technik ist die Ausnutzung von CVE-2024-7344, einer Schwachstelle in einem von Microsoft signierten UEFI-Programm. Darüber lässt sich trotz aktivem Secure Boot ein Bootkit installieren. ESET meldete das Problem Anfang 2025; Microsoft schloss es mit den Januar-Updates 2025. Systeme mit aktuellem Patchstand und korrekt umgesetzter UEFI-Blocklist/DBX-Richtlinie sind gegen diesen Vektor geschützt. Quellen: ESET Research, Microsoft Security Update Guide.
Infektionskette und Fähigkeiten: EFI-Persistenz, MFT-Verschlüsselung, Erpresserscreen
Persistenz in der EFI-Systempartition
Auf UEFI-/GPT-Systemen schreibt HybridPetya mehrere Artefakte in die EFI-Systempartition (ESP): Konfiguration und Validierungsdateien, einen modifizierten Bootloader, einen Fallback-UEFI-Loader, einen Container mit dem Exploit sowie einen Status-Tracker zur Fortschrittsverfolgung. Bemerkenswert: Der originale Windows-Bootloader bleibt erhalten – mutmaßlich, um nach Lösegeldzahlung eine Wiederherstellung zu ermöglichen.
MFT-Verschlüsselung und CHKDSK-Imitation
Nach einem forcierten Neustart verschlüsselt das Bootkit gezielt Cluster der Master File Table (MFT) mittels Salsa20 und einem in der Konfiguration hinterlegten Nonce. Parallel zeigt das System einen gefälschten CHKDSK-Dialog an, um die Manipulation zu verschleiern. Eine kompromittierte MFT führt praktisch zum Verlust des Dateisystemzugriffs – ein Muster, das aus früheren Kampagnen bekannt ist und die Wiederherstellung erheblich erschwert.
Ökonomie der Attacke: 1.000 USD in Bitcoin
Nach Abschluss erscheint eine Erpressernotiz mit der Forderung nach 1.000 US‑Dollar in BTC und einem Eingabefeld für einen 32‑stelligen Entschlüsselungscode. Die beobachtete Wallet blieb nahezu ungenutzt; zwischen Februar und Mai 2025 flossen rund 183,32 US‑Dollar. Das stützt die Einschätzung eines limitierten Testbetriebs.
Verbreitung und Risiko: Fokus auf ungepatchte Windows-Systeme
Aktuell liegen keine Hinweise auf breit angelegte Angriffe vor. Dennoch zeigen Fälle wie BlackLotus und andere UEFI-Bootkits, dass funktionierende Secure‑Boot‑Umgehungen schnell in echten Operationen landen. Ein öffentlich dokumentierter Prototyp mit UEFI-Bootkit und Secure-Boot-Bypass erhöht den Druck auf Unternehmen, Januar‑2025‑Patches und DBX-Updates zügig auszurollen. ESET stellt Indicators of Compromise (IoCs) bereit, um die Detektion zu stärken.
Praktische Abwehrmaßnahmen für Unternehmen
Sicherheitsupdates priorisieren: Microsoft-Updates ab Januar 2025 zeitnah einspielen; prüfen, ob die UEFI-Revocation List/DBX aktualisiert ist und verwundbare Komponenten gesperrt sind.
Bootkette absichern: Secure Boot aktivieren und überwachen, nur signierte Firmware-/UEFI-Updates aus vertrauenswürdigen Quellen zulassen, den Einsatz dritter UEFI-Recovery-Tools beschränken.
Endpunkt- und UEFI-Telemetrie: EDR/AV mit UEFI-Scanning nutzen, Zugriff auf die EFI-Systempartition auditieren, ungeplante Neustarts/BSODs korrelieren und auf Boot-Integritätsabweichungen (Measured/Verified Boot, Remote Attestation) prüfen.
Resilienz und Response: Offline-Backups und Bare-Metal-Recovery regelmäßig testen; IoCs aus verlässlichen Quellen einpflegen; Playbooks für Bootkit-Szenarien samt Incident-Containment und Wiederherstellung bereithalten.
HybridPetya unterstreicht, dass Angriffe auf die Bootkette ein effizienter Weg sind, Schutzmechanismen zu umgehen. Organisationen reduzieren ihr Risiko erheblich, wenn sie die Januar‑2025‑Patches inklusive DBX-Rückruflisten implementieren, die Integrität der UEFI‑Kette kontinuierlich überwachen und Wiederherstellungsprozesse belastbar halten. Es empfiehlt sich, die eigene Infrastruktur kurzfristig gegen die von ESET veröffentlichten IoCs zu prüfen und Richtlinien zum Einsatz von UEFI‑Tools zu schärfen.