ESET повідомила про виявлення зразка шкідника HybridPetya на VirusTotal — ранньої версії або proof‑of‑concept, який комбінує прийоми Petya/NotPetya з функціональністю UEFI-буткіта. Попри тестовий вигляд, HybridPetya вже здатен обходити механізм Secure Boot, що переводить загрозу у категорію високого ризику для систем Windows, особливо з застарілими політиками блокування.
Походження гібриду та спадковість Petya/NotPetya
Грозливий код відтворює знайомі патерни кампаній 2016–2017 років: інсценує системну “перевірку диска” (CHKDSK) під час фактичного шифрування, провокує BSOD для примусової перезавантаження та запуску шкідливого навантаження на етапі старту. На відміну від попередників, додано стійкість на рівні завантаження та прихованість у ланцюзі UEFI, що ускладнює виявлення традиційними засобами захисту.
Обхід UEFI Secure Boot через CVE-2024-7344
Ключова технічна деталь — експлуатація уразливості CVE-2024-7344 у підписаному Microsoft UEFI-додатку, яка дозволяє розгортати буткіти навіть за активного Secure Boot. За даними ESET, проблему повідомлено на початку 2025 року; виправлення вийшло у січневому пакеті оновлень Microsoft 2025. Системи, які отримали ці оновлення і застосували політики відкликання вразливих компонентів, суттєво знижують ризик компрометації цим вектором.
Для широкої аудиторії: UEFI — це сучасне середовище ініціалізації обладнання, яке запускається до ОС; Secure Boot перевіряє підписи завантажувальних компонентів. Якщо ланцюг довіри можна обійти, зловмисник здобуває контроль до старту Windows.
Ланцюжок атаки та можливості UEFI-буткіта HybridPetya
Закріплення у розділі EFI з резервуванням завантажувача
На системах з UEFI та GPT шкідник розміщує конфігураційні й валідаційні файли, модифікований завантажувач, резервний UEFI-завантажувач, контейнер з експлойтом і файл стану у системному розділі EFI. Важлива деталь: оригінальний Windows Boot Manager зберігається, що теоретично дозволяє відновлення після оплати — типовий прийом підвищення “довіри” до вимог викупу.
Шифрування MFT під прикриттям CHKDSK
Після перезавантаження буткіт переходить до шифрування кластерів MFT (Master File Table) алгоритмом Salsa20 із використанням nonce з конфігурації, паралельно показуючи фальшивий екран перевірки диска. Оскільки MFT — “каталог” усіх файлів NTFS, пошкодження MFT блокує доступ до даних на всьому томі, що робить відновлення значно складнішим і дорожчим.
Вимоги викупу та ознаки тестування
На завершення відображається записка з вимогою 1000 USD у біткоїнах та полем введення 32-символьного ключа для розшифрування. За спостереженнями аналітиків, прив’язаний гаманець порожній; з лютого по травень 2025 року надійшло лише близько 183,32 долара США. Це побічно свідчить про обмежене тестування, а не масштабну монетизацію.
Кого зачіпає загроза і поточний масштаб поширення
Наразі ознак широких кампаній не зафіксовано. Водночас досвід BlackLotus, BootKitty, Hyper‑V Backdoor показує, що робочі PoC буткітів швидко адаптуються під реальні операції, насамперед проти неоновлених Windows‑систем. ESET опублікувала індикатори компрометації (IoC) на GitHub, що допомагає командам захисту швидше налаштувати виявлення.
Практичні кроки захисту для Windows середовищ
Оновлення безпеки: невідкладно встановити січневі 2025 (і новіші) патчі Microsoft, що закривають CVE-2024-7344, та перевірити застосування політик відкликання вразливих UEFI-компонентів.
Контроль завантажувального ланцюга: увімкнути та моніторити Secure Boot, використовувати лише перевірені оновлення UEFI/BIOS, обмежити запуск сторонніх підписаних UEFI-утиліт відновлення.
Захист хоста: застосовувати EDR/AV із підтримкою сканування UEFI, контролювати доступ до розділу EFI, відстежувати нетипові перезавантаження та BSOD без явних причин.
Готовність до інцидентів: підтримувати офлайн‑бекапи і сценарії bare‑metal відновлення; регулярно звіряти інфраструктуру з актуальними IoC з надійних джерел.
HybridPetya підтверджує: атаки на рівні завантаження залишаються одним із найефективніших шляхів обходу захистів Windows. Щоб звузити вікно можливостей для подібних буткітів, варто без зволікань оновити системи, перевірити політики Secure Boot/відкликання, посилити моніторинг UEFI та повторно оцінити використання сторонніх UEFI‑інструментів. ІТ‑ та безпековим командам доцільно оперативно імпортувати опубліковані IoC і провести цільовий аудит станцій та серверів.
