Специалисты ESET сообщили о выявлении образца новой вымогательской малвари HybridPetya, сочетающей приемы Petya/NotPetya и расширенной функциональности уровня загрузки. По данным исследователей, образец найден на VirusTotal и может представлять собой proof-of-concept, раннюю сборку или ограниченно тестируемый инструмент. Несмотря на раннюю стадию, HybridPetya уже демонстрирует возможности UEFI-буткита и обход механизма Secure Boot, что выводит угрозу в категорию высокорисковых для систем Windows.
Происхождение и сходство с Petya/NotPetya
HybridPetya явно вдохновлён деструктивными кампаниями 2016–2017 годов, копируя визуальные элементы, сценарии перезагрузок и ложные экраны проверки диска. Как и NotPetya, он маскирует шифрование под системную утилиту CHKDSK, а как Petya — инициирует «синий экран» для форсированной перезагрузки и запуска нагрузки при старте системы. При этом разработчики добавили новые возможности, повышающие стойкость и незаметность на этапе начальной загрузки.
Обход UEFI Secure Boot через CVE-2024-7344
Ключевой технической особенностью HybridPetya является эксплуатация уязвимости CVE-2024-7344, связанной с подписанным Microsoft UEFI-приложением, которое может быть использовано для установки буткитов при активном Secure Boot. ESET сообщила об уязвимости в начале 2025 года; Microsoft закрыла её в январском пакете обновлений. Соответственно, системы с установленными обновлениями за январь 2025 года и новее защищены от данного вектора, при условии корректной политики блокировок уязвимых компонентов.
Цепочка заражения и функциональные возможности
Установка в раздел EFI и сохранение загрузчика
При выполнении на системе с UEFI и GPT-разметкой HybridPetya размещает собственные компоненты в системном разделе EFI: конфигурацию и валидационные файлы, модифицированный загрузчик, резервный UEFI-загрузчик, контейнер с эксплойтом и файл состояния для отслеживания прогресса шифрования. Важный нюанс — оригинальный загрузчик Windows сохраняется, что позволяет потенциально восстановить систему после оплаты выкупа.
Шифрование MFT и имитация CHKDSK
После принудительной перезагрузки буткит инициирует шифрование кластеров MFT (Master File Table), используя ключ Salsa20 и nonce из конфигурационного файла, параллельно демонстрируя поддельный экран «проверки диска». Такой подход минимизирует подозрения на этапе воздействия и осложняет восстановление, поскольку повреждение MFT нарушает доступ ко всей файловой системе.
Экран вымогателя и экономика атаки
По завершении шифрования отображается записка с требованием оплаты 1000 долларов США в биткоинах и формы ввода 32-символьного ключа для расшифровки. Аналитики отмечают, что связанный кошелёк на момент наблюдений пуст; с февраля по май 2025 года на него поступило лишь около 183,32 доллара, что косвенно подтверждает тестовый характер активности.
Кого затрагивает угроза и статус распространения
На текущий момент HybridPetya не зафиксирован в широких атаках. Однако, учитывая успешные примеры прошлых UEFI-буткитов — BlackLotus, BootKitty, Hyper-V Backdoor — наличие рабочего PoC с обходом Secure Boot повышает вероятность оперативной адаптации к реальным операциям против необновлённых Windows-систем. ESET опубликовала индикаторы компрометации на GitHub, что позволит синим командам оперативно усилить обнаружение.
Практические меры снижения риска
Обновления безопасности: приоритетно установить январские (и более новые) обновления Microsoft, закрывающие CVE-2024-7344, и убедиться в применении политики отзыва уязвимых UEFI-компонентов.
Контроль загрузочной цепочки: включить и мониторить Secure Boot, использовать проверенные поставщики UEFI/BIOS-обновлений, ограничить применение сторонних инструментов восстановления, задействующих подписанные UEFI-приложения.
Защита хоста: использовать EDR/AV с поддержкой UEFI-сканирования, контролировать доступ к разделу EFI, отслеживать нестандартные перезагрузки и BSOD без явных причин.
Готовность к инцидентам: поддерживать офлайн-резервные копии и процедуры bare-metal восстановления; регулярно проверять IoC из открытых источников угроз.
HybridPetya демонстрирует, что атаки на уровень загрузки остаются одним из самых результативных путей обхода защит Windows. При своевременном установлении обновлений, жёстком контроле цепочки загрузки и готовности к инцидентам организации значительно сужают окно возможностей для подобных буткитов. Рекомендуется обновить системы без задержек, сверить инфраструктуру с опубликованными IoC и пересмотреть политику использования сторонних UEFI-инструментов, чтобы снизить вероятность компрометации.
