HybridPetyaと呼ばれる新たに確認されたランサムウェアがVirusTotalプラットフォーム上に登場しました。
2025年2月にアップロードされたこのサンプルは、破壊的なNotPetyaの大規模感染との関連を示唆するファイル名で公開されました。
このマルウェアはPetyaやNotPetyaと多くの類似点を持ちながらも、UEFIベースのシステムを侵害できるなど、際立った新機能を追加しています。
HybridPetyaはNTFSパーティションを標的とし、保存ファイルの位置を管理する中核要素であるマスターファイルテーブル(MFT)を暗号化します。
2017年に100億ドル以上の世界的被害をもたらし、復旧を不可能にしたNotPetyaとは異なり、HybridPetyaは正しい復号キーが入力されれば被害者がアクセスを回復できるようになっています。これにより、従来型のランサムウェアに近い挙動を示します。
解析によると、このマルウェアはEFIシステムパーティションに悪意あるEFIアプリケーションをインストールし、OSよりも深いレベルで永続化を実現します。
あるバージョンでは、HybridPetyaはCVE-2024-7344も悪用します。この脆弱性により、署名済みだが脆弱なMicrosoftアプリケーションを通じて特別に細工されたcloak.datファイルを読み込むことで、未修正のシステムでUEFI Secure Bootを回避できます。
HybridPetyaの主な特徴は以下の通りです:
-
Salsa20アルゴリズムによるNTFSマスターファイルテーブルの暗号化
-
Windows起動前に動作するUEFIブートキットのインストール
-
CVE-2024-7344の悪用によるSecure Boot保護の無効化
-
復号キー入力時のデータ復旧サポート
UEFI Secure Boot回避に関する詳細:新たなブートキット「Bootkitty」がUEFI経由でLinuxシステムを標的
サンプルを分析したESET Researchは、HybridPetyaが現在積極的に拡散している証拠は見つかっていないとしています。
NotPetyaとは異なり、ネットワークを介して自己増殖するコードは含まれていませんが、その技術的特徴は注目に値します。ランサムウェア機能とファームウェアレベルの永続化、Secure Boot回避を組み合わせることで、HybridPetyaは攻撃者がより深く、復元困難な侵害方法を模索していることを示しています。
この発見により、HybridPetyaは他の高度なUEFIブートキットであるBlackLotusなどと並ぶ存在となりました。実際に攻撃に使われるか、あるいは単なる概念実証にとどまるかは不明ですが、システム起動時の保護機構の脆弱性がますます標的となり、ランサムウェアもそれを悪用する方向へ進化しているという傾向を浮き彫りにしています。
翻訳元: https://www.infosecurity-magazine.com/news/hybridpetya-mimics-notpetya-uefi/