Les chercheurs de l’ESET ont découvert HybridPetya, un combo bootkit-and-ransomware qui est un copieur du fameux malware Petya / Notpetya, augmenté avec la capacité de compromettre les systèmes basés sur l’UEFI et d’armement à l’armement CVE-2024-7344 pour contourner la botte sécurisée de l’UEFI sur les systèmes dépassés.
L’échantillon a été téléchargé de la Pologne vers la plate-forme de balayage malveillant Virustotal, et la télémétrie ESET ne montre aucun signe de logiciel malveillant utilisé dans la nature.
À propos de HybridPetya
«Fin juillet 2025, nous avons rencontré des échantillons de ransomware suspects sous divers noms de fichiers, y compris notPetyanew.exe et d’autres similaires, suggérant un lien avec les logiciels malveillants tristement célèbres qui ont frappé l’Ukraine et de nombreux autres pays en 2017 », explique le chercheur de l’ESet, Martin Smolár, qui a fait la découverte.
“L’attaque NotPetya serait la cyberattaque la plus destructrice de l’histoire, avec plus de 10 milliards de dollars de dommages-intérêts. En raison des caractéristiques partagées des échantillons nouvellement découverts avec Petya et NotPetya, nous avons nommé ce nouvel HybridPetya de logiciels malveillants.”
Contrairement à la NotPetya d’origine, l’algorithme utilisé par HybridPetya pour générer la clé d’installation personnelle de la victime permet à l’opérateur de malware de reconstruire la clé de décryptage des clés d’installation personnelle de la victime. Ainsi, HybridPetya reste viable en tant que ransomware régulier – plus comme Petya.
Logique d’exécution d’HybridPetya (Source: ESET)
De plus, HybridPetya est également capable de compromettre les systèmes modernes basés sur l’UEFI en installant une application EFI malveillante à la partition du système EFI. L’application UEFI déployée est alors responsable du chiffrement du fichier de fichiers master (MFT) lié au NTFS – un fichier de métadonnées important contenant des informations sur tous les fichiers de la partition formée par NTFS.
«Après un peu plus de fouilles, nous avons découvert quelque chose de plus intéressant sur Virustotal: une archive contenant l’intégralité du contenu de partition du système EFI, y compris une application HybridPetya UEFI très similaire, mais cette fois-ci dans un format spécialement formaté creux.dat Fichier, vulnérable au CVE-2024-7344 – La vulnérabilité de contournement de démarrage Secure Boot UEFI que notre équipe a divulguée au début de 2025 », ajoute Smolár.
Les publications ESET de janvier 2025 s’abstiennent délibérément de détailler l’exploitation; Ainsi, l’auteur malware a probablement reconstruit le bon creux.dat Format de fichier basé sur l’ingénierie inverse de l’application vulnérable par eux-mêmes.
La télémétrie ESET ne montre pas encore une utilisation active de l’hybridpetya dans la nature; Ainsi, HybridPetya peut simplement être une preuve de concept développée par un chercheur en sécurité ou un acteur de menace inconnu. De plus, ce malware ne présente pas la propagation du réseau agressive observée dans le Notpetya d’origine.
«HybridPetya est désormais au moins le quatrième exemple public connu d’un véritable ou preuve de concept UEFI Bootkit avec une fonctionnalité de dérivation de démarrage UEFI, rejoignant BlackLotus (exploitant CVE-2022‑21894), Bootkitty (exploiting logofail), et le POC de Backáá.
“Cela montre que les contournements de démarrage sécurisés ne sont pas seulement possibles – ils deviennent plus courants et attrayants pour les chercheurs et les attaquants.”
