新たなHybridPetyaランサムウェアがUEFIセキュアブートを回避可能

最近発見されたHybridPetyaと呼ばれるランサムウェアは、UEFIセキュアブート機能を回避し、EFIシステムパーティションに悪意のあるアプリケーションをインストールすることができます。

HybridPetyaは、2016年と2017年にコンピュータを暗号化し、Windowsの起動を妨げた破壊的なPetya/NotPetyaマルウェアに触発されたものと思われますが、復旧オプションは提供されませんでした。

サイバーセキュリティ企業ESETの研究者は、VirusTotal上でHybridPetyaのサンプルを発見しました。彼らは、これが研究プロジェクトや概念実証、またはまだ限定的にテストされているサイバー犯罪ツールの初期バージョンである可能性があると指摘しています。

それでもESETは、BlackLotus、BootKitty、Hyper-Vバックドアといった事例と同様に、セキュアバイパス機能を持つUEFIブートキットが現実的な脅威であることを示す新たな例だと述べています。

HybridPetyaは、PetyaおよびNotPetyaの特徴を取り入れており、これらの古いマルウェアのビジュアルスタイルや攻撃チェーンを継承しています。

しかし、開発者はEFIシステムパーティションへのインストールや、CVE-2024-7344脆弱性を悪用したセキュアブートの回避といった新たな機能も追加しています。

ESETは今年1月にこの脆弱性を発見しました。この問題は、Microsoft署名済みアプリケーションが、ターゲットでセキュアブート保護が有効な状態でもブートキットを展開するために悪用される可能性があるというものです。

起動時、HybridPetyaはホストがUEFIとGPTパーティションを使用しているかどうかを判定し、EFIシステムパーティションに複数のファイルからなる悪意のあるブートキットをドロップします。

これらには、設定および検証ファイル、改変されたブートローダー、フォールバック用UEFIブートローダー、エクスプロイトペイロードコンテナ、暗号化進捗を追跡するステータスファイルが含まれます。

ESETは、HybridPetyaの解析済みバリアントで使用される以下のファイルを挙げています：

また、このマルウェアは\EFI\Microsoft\Boot\bootmgfw.efiを脆弱な「reloader.efi」に置き換え、\EFI\Boot\bootx64.efiを削除します。

元のWindowsブートローダーも保存されており、復元が成功した場合（つまり被害者が身代金を支払った場合）に有効化されるようになっています。

展開されると、HybridPetyaはPetyaと同様に偽のエラーを表示するBSOD（ブルースクリーン）を発生させ、システムを強制再起動します。これにより、システム起動時に悪意のあるブートキットが実行されます。

この段階で、ランサムウェアは設定ファイルから抽出したSalsa20キーとノンスを用いて全てのMFTクラスタを暗号化し、NotPetyaのように偽のCHKDSKメッセージを表示します。

暗号化が完了すると、再度再起動が行われ、システム起動時に被害者に対して身代金要求メッセージが表示され、1,000ドル相当のビットコイン支払いを要求されます。

代わりに、被害者には32文字のキーが提供され、それを身代金メモ画面で入力することで、元のブートローダーが復元され、クラスタが復号され、再起動を促されます。

HybridPetyaは、実際の攻撃で観測されたことはまだありませんが、同様のプロジェクトがこのPoCを武器化し、パッチ未適用のWindowsシステムを標的とした大規模なキャンペーンで使用する可能性があります。

この脅威への防御に役立つインジケーター（IOC）は、このGitHubリポジトリで公開されています。

Microsoftは、2025年1月のパッチチューズデーでCVE-2024-7344を修正したため、このまたはそれ以降のセキュリティアップデートを適用したWindowsシステムはHybridPetyaから保護されています。

ランサムウェア対策としてもう一つ有効なのは、最も重要なデータのオフラインバックアップを保持することで、無料かつ簡単にシステムを復元できるようにすることです。