Resumo Executivo
Este alerta de segurança aborda a descoberta do HybridPetya, uma nova variante de ransomware que representa uma evolução significativa nas ameaças de firmware. Identificado em fevereiro de 2025, ele combina características dos notórios malwares Petya e NotPetya, que causaram estragos entre 2016 e 2017. A principal inovação do HybridPetya é sua capacidade de comprometer sistemas modernos baseados em UEFI, explorando a vulnerabilidade CVE-2024-7344 para contornar o Secure Boot em máquinas que não aplicaram as atualizações de revogação (dbx) da Microsoft de janeiro de 2025.
Embora ainda não haja evidências de campanhas ativas, a sofisticação técnica do HybridPetya exige atenção e preparação por parte dos profissionais de segurança.
Análise Técnica do HybridPetya
O HybridPetya, assim como seus predecessores, tem como alvo a Master File Table (MFT) em partições NTFS, tornando os arquivos do sistema operacional inacessíveis. No entanto, sua abordagem é mais sofisticada, utilizando um bootkit UEFI para garantir sua persistência e execução antes mesmo do carregamento do sistema operacional.
O Bootkit UEFI e o Processo de Criptografia
A principal inovação do HybridPetya é a sua capacidade de instalar uma aplicação EFI maliciosa na EFI System Partition (ESP). Este bootkit é responsável por orquestrar todo o processo de ataque. Uma vez executado, ele utiliza o algoritmo de criptografia Salsa20 para criptografar a MFT. Durante este processo, o malware exibe uma falsa mensagem do CHKDSK, o que leva o usuário a acreditar que o sistema está realizando uma verificação de disco, quando na verdade seus arquivos estão sendo criptografados.
O processo de ataque pode ser resumido da seguinte forma:
- Instalação: O malware instala sua aplicação EFI maliciosa na ESP.
- Configuração: O bootkit verifica um arquivo de configuração para determinar o estado da criptografia (pronto para criptografar, já criptografado ou resgate pago).
- Criptografia: Se o sistema ainda não foi comprometido, o bootkit extrai a chave de criptografia Salsa20 e inicia a criptografia da MFT.
- Falsa Verificação: Durante a criptografia, uma mensagem falsa do CHKDSK é exibida para enganar o usuário.
- Reinicialização: Após a conclusão da criptografia, o sistema é reiniciado e a nota de resgate é exibida.
Exploração da Vulnerabilidade CVE-2024-7344
Uma das variantes analisadas do HybridPetya explora a vulnerabilidade CVE-2024-7344 para contornar o UEFI Secure Boot. Esta falha de segurança reside em uma aplicação UEFI assinada pela Microsoft, chamada “Reloader“, que permite a execução de código não assinado a partir de um arquivo chamado cloak.dat. O HybridPetya explora essa falha para executar seu bootkit UEFI mesmo em sistemas com o Secure Boot ativado, desde que não tenham recebido as atualizações de revogação da Microsoft.
Diferenças em Relação ao Petya e NotPetya
Apesar das semelhanças, o HybridPetya apresenta diferenças cruciais em relação aos seus predecessores:
| Característica | Petya (2016) | NotPetya (2017) | HybridPetya (2025) |
|---|---|---|---|
| Propósito | Ransomware | Destrutivo (wiper) | Ransomware |
| Recuperação | Possível | Impossível | Possível |
| Alvo | MBR e MFT | MBR e MFT | MFT (via UEFI) |
| UEFI | Não | Não | Sim |
| Propagação | Limitada | Agressiva (rede) | Limitada (até o momento) |
É importante notar que, ao contrário do NotPetya, o HybridPetya foi projetado para funcionar como um ransomware tradicional. O algoritmo de geração de chaves, inspirado no proof-of-concept RedPetyaOpenSSL, permite que o operador do malware reconstrua a chave de descriptografia, tornando a recuperação dos dados possível mediante o pagamento do resgate.
Implicações de Segurança e Mitigação
O surgimento do HybridPetya reforça a importância da segurança de firmware e da necessidade de manter os sistemas atualizados. As seguintes medidas são recomendadas para mitigar o risco de ataques como este:
- Atualizações de Firmware e SO: Manter o firmware UEFI e o sistema operacional sempre atualizados é a principal linha de defesa.
- Atualizações de Revogação (dbx): Garantir que as atualizações de revogação do Secure Boot da Microsoft sejam aplicadas para bloquear a execução de binários vulneráveis conhecidos, como o explorado pela CVE-2024-7344.
- Monitoramento da ESP: Monitorar a EFI System Partition em busca de modificações não autorizadas pode ajudar a detectar a instalação de bootkits UEFI.
- Controle de Acesso: Restringir o acesso de gravação à ESP para usuários e processos não privilegiados.
Conclusão
O HybridPetya representa uma nova e sofisticada ameaça no cenário de ransomware, demonstrando a contínua evolução das técnicas de ataque para o nível de firmware. Embora ainda não tenha sido observado em campanhas ativas, seu potencial de dano é significativo, especialmente em ambientes que não seguem as melhores práticas de segurança de firmware. A comunidade de segurança deve permanecer vigilante e proativa na implementação de medidas de defesa para se proteger contra esta e outras ameaças emergentes.
Referências
- ESET Research. (2025, September 12). Introducing HybridPetya: Petya/NotPetya copycat with UEFI Secure Boot bypass. WeLiveSecurity. https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/
- ESET Research. (2025, January 16). Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344. WeLiveSecurity. https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344/
- MITRE. (2025). CVE-2024-7344. CVE. https://www.cve.org/CVERecord?id=CVE-2024-7344
Apêndice – Petya e NotPetya: Características Técnicas Confirmadas
Petya Original (2016)
• Descoberta: Março de 2016.
• Alvo: Master Boot Record (MBR) e Master File Table (MFT).
• Propósito: Ransomware legítimo com possibilidade de recuperação.
• Criptografia: Salsa20 para MFT.
NotPetya (2017)
• Data do Ataque: 27 de junho de 2017
• Vetor Inicial: Software de contabilidade ucraniano M.E.Doc
• Propagação: EternalBlue, EternalRomance, PsExec, WMI, Mimikatz.
• Alvo: MBR e MFT (similar ao Petya).
• Diferencial: Destrutivo – sem possibilidade real de recuperação.
• Impacto: Mais de $10 bilhões em danos globais
• Atribuição: Origem Militar Russa (GRU) – confirmado pelos governos EUA e Reino Unido.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.