HybridPetya ransomware omzeilt UEFI Secure Boot om harde schijven kwaadaardig te versleutelen

Een nieuw stuk ransomeware, en het kan een van de beste beveiligingsmaatregelen tegen kwaadaardige schijfversleuteling omzeilen.

HybridPetya is een virus dat onlangs is gevonden door cyberbeveiligingsbedrijf ESET. De malware kan UEFI Secure Boot omzeilen, een hulpprogramma van Windows dat certificaten controleert van software die probeert op te starten op een opslagschijf wanneer een pc wordt ingeschakeld. Deze veiligheidscontrole voorkomt in theorie dat kwaadaardige code of onofficiële software kan opstarten.

HybridPetya kan echter detecteren wanneer een geïnfecteerde schijf UEFI met GPT-partitionering gebruikt en kan Secure Boot omzeilen. Zodra het Secure Boot omzeilt, voegt de malware opstartbestanden toe aan het station van de opstartpartitie, verwijdert ze of wijzigt ze om de rest van de gegevens van het station te vergrendelen en te versleutelen.

Zodra HybridPetya geactiveerd is, krijgt de gebruiker een bericht waarin staat dat al zijn bestanden versleuteld zijn. De losgeldbrief bevat ook instructies om Bitcoin ter waarde van US$1000 naar een portemonnee te sturen. De geïnfecteerde gebruiker wordt ook gevraagd om zijn Bitcoin-portemonnee en een gegenereerde installatiesleutel naar een e-mailadres van ProtonMail te sturen om een ontcijferingssleutel te ontvangen.

ESET verklaarde dat het op 12 september nog geen echte aanvallen met HybridPetya had opgemerkt. In dat licht lijkt het erop dat de ransomware een proof-of-concept is of zich in een testfase bevindt voorafgaand aan een uitrol. Het goede nieuws is dat de exploit die door de malware wordt gebruikt, al in januari in een Windows-patch is verholpen (januari 2025 Patch Tuesday), dus als een Windows-computer up-to-date is, zou deze veilig moeten zijn. Het is niet zeker of HybridPetya andere besturingssystemen zoals macOS of Linux kan aantasten.