Especialistas da ESET descobriram um novo vírus ransomware, que eles chamaram de HybridPetya. Ele se assemelha às variantes já conhecidas Petya/NotPetya, mas ao mesmo tempo tem a capacidade de ignorar o mecanismo de inicialização segura em sistemas com UEFI, explorando uma vulnerabilidade que já foi corrigida este ano.
Fonte da imagem: welivesecurity.com
Amostras do HybridPetya foram enviadas ao VirusTotal em fevereiro de 2025. O vírus instala um aplicativo malicioso na partição EFI do sistema. O instalador modifica o bootloader UEFI para injetar um bootkit. Isso causa uma “tela azul da morte” (BSoD) – uma falha do sistema que garante que, após uma reinicialização, o bootkit seja iniciado automaticamente e o processo de criptografia seja iniciado. O vírus inclui dois componentes: um instalador e um bootkit, ou seja, um malware executado antes da inicialização do sistema operacional. O bootkit é responsável por carregar a configuração e verificar o status da criptografia, que pode assumir três valores:
Se o valor for “0”, o bootkit o altera para “1” e criptografa o arquivo “\\EFI\\Microsoft\\Boot\\verify” com o algoritmo Salsa20, usando a chave e o código de uso único especificados na configuração. Ele também cria um arquivo chamado “\\EFI\\Microsoft\\Boot\\counter” na partição do sistema EFI e, em seguida, criptografa o arquivo Master File Table (MFT), que contém os metadados de todos os arquivos na partição NTFS e, em seguida, o restante dos dados de todas as partições NTFS. O arquivo “counter” é usado para rastrear os clusters de disco já criptografados. Durante esse tempo, o usuário visualiza uma tela simulada do CHKDSK, dando à vítima a ilusão de que o sistema está corrigindo erros no disco.
Se o bootkit detectar que o disco está criptografado, ou seja, o status de criptografia é “1”, ele exibe uma mensagem de resgate à vítima: US$ 1.000 em bitcoins para o endereço de carteira especificado. A carteira está vazia no momento, embora US$ 183,32 tenham sido recebidos de fevereiro a maio de 2025. Na mesma tela, há um campo para inserir a chave que a vítima compra do operador do vírus. Se a chave for inserida, o bootkit tenta descriptografar o arquivo “\\EFI\\Microsoft\\Boot\\verify”; se a chave correta for especificada, o status de criptografia recebe o valor “2” e a descriptografia é iniciada; na primeira etapa, o conteúdo do arquivo “\\EFI\\Microsoft\\Boot\\counter” é lido. Quando o número de clusters descriptografados atinge o valor do arquivo “counter”, o processo de descriptografia é interrompido; ao descriptografar o arquivo MFT, o status atual de todo o processo é exibido. Na etapa de descriptografia, bootloaders legítimos também são restaurados a partir de cópias de backup criadas anteriormente: “\\EFI\\Boot\\bootx64.efi” e “\\EFI\\Microsoft\\Boot\\bootmgfw.efi”. Ao final do processo, a vítima é solicitada a reiniciar o computador.
Algumas variantes do HybridPetya exploram a vulnerabilidade CVE-2024-7344 (classificação 6,7 de 10) no aplicativo UEFI Reloader (arquivo “reloader.efi”), que permite a execução remota de código ignorando a Inicialização Segura. Para se disfarçar, o bootkit renomeia o arquivo do aplicativo para “bootmgfw.efi” e carrega o arquivo “cloak.dat” com o código criptografado por XOR do bootkit. Quando o arquivo renomeado para “bootmgfw.efi” é iniciado durante a inicialização, ele procura por “cloak.dat” na partição do sistema EFI e “carrega o aplicativo UEFI integrado a partir dela de forma altamente insegura, ignorando completamente todas as verificações de integridade, ignorando assim a Inicialização Segura do UEFI”, observou a ESET. A Microsoft corrigiu essa vulnerabilidade em janeiro de 2025. Ao contrário da variante NotPetya, que simplesmente destrói os dados, o HybridPetya permite restaurá-los: após pagar o resgate, a vítima recebe uma chave exclusiva da operadora, com base na qual é gerada uma chave para descriptografar os dados.
Os especialistas da ESET não conseguiram encontrar evidências de que o HybridPetya tenha sido usado na prática — há uma versão de que se trata de um projeto de pesquisa sem o objetivo de lucrar com atividades ilegais. No entanto, sua aparição indica que contornar o UEFI Secure Boot não é apenas possível — tais ferramentas estão se espalhando e se tornando cada vez mais atraentes para pesquisadores e invasores, concluiu a ESET.