HybridPetya destaca como la evolución moderna de Petya y NotPetya, demostrando que incluso Secure Boot puede ser burlado. El malware incorpora técnicas de cifrado e infección avanzadas y aprovecha la vulnerabilidad CVE-2024-7344 para comprometer sistemas Windows a nivel de arranque.
HybridPetya es una nueva variante de ransomware que eleva el listón al comprometer la partición EFI y saltarse las protecciones de UEFI Secure Boot en sistemas Windows. Descubierto recientemente por investigadores de ESET, el malware se inspira en los ya célebres Petya y NotPetya, que causaron graves daños en 2016 y 2017. Sin embargo, introduce innovaciones preocupantes como el uso de la vulnerabilidad CVE-2024-7344, mostrando la evolución de las amenazas persistentes en la cadena de arranque.
HybridPetya destaca por su capacidad para infectar equipos UEFI con partición GPT, donde introduce un bootkit malicioso directamente en la partición de sistema EFI. Utiliza archivos como config, verify, y un bootloader modificado, además de un componente cifrador basado en Salsa20. Su vector principal es el abuso de CVE-2024-7344, una falla corregida que permitió la colocación de bootkits incluso con Secure Boot activado, sustituyendo archivos clave como bootmgfw.efi por uno malicioso y eliminando componentes originales del arranque.
El flujo de infección simula errores mediante BSOD y reinicia el equipo para activar el bootkit, cifrando datos críticos y exigiendo un rescate.
El principal riesgo radica en su habilidad para evadir UEFI Secure Boot, lo que implica que medidas de arranque seguro pierden efectividad si el sistema no está actualizado. HybridPetya puede incapacitar por completo el arranque de Windows y comprometer la restauración del sistema sin la clave de rescate, elevando el daño potencial. Aunque no hay casos activos detectados aún, la aparición del malware como prueba de concepto augura posibles campañas futuras dirigidas a equipos vulnerables.
Se recomienda aplicar sin demora los parches de seguridad de enero de 2025 de Microsoft que corrigen CVE-2024-7344, mantener copias de seguridad offline de la información más relevante y activar doble factor de autenticación en plataformas críticas. Realizar auditorías periódicas de integridad en la partición EFI y eliminar permisos innecesarios de arranque son prácticas clave. Revisar los indicadores de compromiso publicados por ESET puede ayudar en la detección temprana.
HybridPetya marca un nuevo hito en el ataque al ciclo de arranque de sistemas Windows. Sus capacidades demuestran que ni siquiera Secure Boot es infalible ante amenazas sofisticadas y vulnerabilidades como CVE-2024-7344. Mantener los parches aplicados y las copias de seguridad protegidas es esencial para reducir el riesgo y evitar la pérdida total de sistemas y datos.
Fuente: Hispasec
No hay comentarios:
Publicar un comentario