ESET ha identificado un nuevo prototipo de ransomware, denominado HybridPetya, que combina técnicas de Petya/NotPetya con capacidades de bootkit UEFI. El archivo apareció en VirusTotal y, según los analistas, podría tratarse de un proof‑of‑concept, una versión temprana o una herramienta en pruebas limitadas. Pese a su madurez incipiente, ya demuestra la capacidad de eludir Secure Boot, lo que eleva el riesgo para sistemas Windows sin parchear.
Origen y tácticas heredadas de Petya/NotPetya
HybridPetya replica elementos visuales y de flujo de ataque de las campañas de 2016–2017: fuerza un reinicio con pantalla azul y simula una ejecución de CHKDSK para ocultar el cifrado, una táctica que NotPetya popularizó para camuflar actividad maliciosa durante el arranque. La novedad es la resiliencia en la cadena de arranque y la mayor discreción en el nivel UEFI, reforzando la persistencia y el impacto.
Elusión de Secure Boot mediante CVE-2024-7344
El rasgo técnico clave es la explotación de CVE-2024-7344, una vulnerabilidad asociada a una aplicación UEFI firmada por Microsoft que puede ser abusada para instalar bootkits incluso con Secure Boot activo. ESET notificó el fallo a inicios de 2025, y Microsoft lo corrigió en el Patch Tuesday de enero. Los sistemas actualizados desde enero de 2025, con la política de revocación aplicada (DBX), quedan protegidos frente a este vector.
Cadena de infección y capacidades técnicas
Persistencia en la partición EFI y conservación del cargador
En equipos con UEFI y particionado GPT, HybridPetya escribe sus componentes en la partición del sistema EFI: archivos de configuración y validación, un cargador modificado, un cargador UEFI de respaldo, un contenedor con el exploit y un archivo de estado para seguir el progreso del cifrado. Un detalle relevante es que conserva el cargador original de Windows, lo que sugiere una posible recuperación tras el pago, alineada con el modelo económico de ransomware.
Cifrado de la MFT y pantalla CHKDSK falsa
Tras el reinicio forzado, el bootkit inicia el cifrado de la Master File Table (MFT) utilizando Salsa20 y un nonce definido en la configuración, a la vez que muestra una falsa verificación de disco. La corrupción de la MFT rompe el índice de la NTFS, dejando inaccesible la mayoría de los archivos y dificultando la recuperación sin la clave de descifrado.
Demanda de rescate y señales de prueba
El mensaje de rescate exige 1.000 dólares en Bitcoin e incluye un campo para introducir una clave de 32 caracteres. El monedero asociado ha recibido alrededor de 183,32 dólares entre febrero y mayo de 2025, un flujo escaso que apunta a actividad de laboratorio o ensayos controlados.
Alcance, riesgos y contexto de bootkits UEFI
No hay evidencias de campañas masivas con HybridPetya. Sin embargo, la existencia de un PoC operativo que abandona Secure Boot incrementa el riesgo de adaptación por parte de actores con motivación financiera o de intrusión. Casos previos como BlackLotus, BootKitty o Hyper‑V Backdoor muestran que los bootkits UEFI pueden saltarse controles convencionales y mantener persistencia profunda. ESET ha publicado indicadores de compromiso (IoC) en GitHub para acelerar la detección defensiva.
Medidas de mitigación y buenas prácticas
Parcheo prioritario: aplicar sin demora las actualizaciones de enero de 2025 o posteriores y asegurar la revocación (DBX) de binarios UEFI vulnerables vinculados a CVE‑2024‑7344.
Integridad de la cadena de arranque: verificar que Secure Boot esté habilitado y monitorizado; usar solo firmware/BIOS de proveedores confiables; restringir medios de recuperación de terceros que carguen aplicaciones UEFI firmadas fuera de control.
Protección del host: desplegar EDR/AV con escaneo UEFI, controlar escrituras a la partición EFI y alertar sobre reinicios inesperados o BSOD sin causa aparente.
Resiliencia operativa: mantener copias de seguridad offline y procedimientos de bare‑metal; revisar con regularidad los IoC publicados por fuentes fiables.
HybridPetya confirma que el arranque sigue siendo una superficie crítica para Windows. Minimice la ventana de exposición: parchee hoy, refuerce Secure Boot con políticas de revocación y audite su cadena de arranque. Revise los IoC difundidos por ESET y ajuste sus controles para neutralizar intentos de bootkit antes de que lleguen a producción.
