ESET, UEFI güvenli önyüklemeyi atlayabilen “HybridPetya” fidye yazılımını tespit etti

ESET araştırmacıları, UEFI tabanlı sistemlerde Güvenli Önyüklemeyi atlayabilen ve NTFS MFT şifrelemesi yapan HybridPetya örnekleri keşfetti; telemetri henüz saha kullanımını göstermiyor.

ESET araştırmacıları, Polonya merkezli VirusTotal platformunda yüklenmiş örnekler üzerinden HybridPetya adını verdikleri fidye yazılımı ve UEFI önyükleme kitini keşfetti. Örnekler, Petya/NotPetya ile benzerlik taşıyor ancak UEFI tabanlı sistemleri hedefleyebiliyor ve CVE-2024-7344 istismarıyla Güvenli Önyüklemeyi atlayabiliyor.

HybridPetya’nın teknik özellikleri

HybridPetya, EFI Sistem Bölümüne kötü amaçlı bir EFI uygulaması yükleyerek modern UEFI sistemlerini tehlikeye atabiliyor. Dağıtılan EFI uygulaması, NTFS ana dosya tablosu (MFT) dosyasını şifreleyerek dosya erişimini bozuyor. Ayrıca kurbanın kişisel kurulum anahtarlarından operatörün şifre çözme anahtarını yeniden oluşturmasına olanak veren bir anahtar algoritması içeriyor; bu yönüyle normal bir fidye yazılımı gibi işleyebiliyor.

CVE-2024-7344 ve cloak.dat

ESET, VirusTotal’de EFI Sistem Bölümü içeriğini ve özel biçimlendirilmiş cloak.dat dosyasını içeren arşivler tespit etti. cloak.dat, CVE-2024-7344 adlı UEFI Güvenli Önyükleme atlama zafiyetine yönelik biçimlendirilmiş içerik barındırıyor. ESET’e göre kötü amaçlı yazılım yazarı bu formatı tersine mühendislikle yeniden oluşturmuş olabilir.

Tehdit durumu

ESET telemetri verileri HybridPetya’nın henüz gerçek dünyada yaygın kullanımına dair işaret göstermiyor. Bu nedenle yazılım günümüzde kavram kanıtı veya geliştirici aşamasında bir örnek olabilir. Ayrıca örneklerde NotPetya’daki agresif ağ yayılımı izleri gözlemlenmiyor.

ESET araştırmacısı Martin Smolár: “Notpetyanew.exe gibi örneklerle karşılaştık. Orijinal NotPetya ile paylaşılan özellikler nedeniyle bu kötü amaçlı yazılıma HybridPetya adını verdik.”