HybridPetyaランサムウェアがWindows Secure Bootを突破

vectorfusionart – shutterstock.com

サイバーセキュリティ企業ESETの研究者がHybridPetyaと呼ばれる新しいランサムウェアを発見しました。これは悪名高いPetyaおよびNotPetyaマルウェアに似ています。これらの前身と同様に、このマルウェアはNTFSパーティション上のすべてのファイルとディレクトリを管理する中心的なデータベースであるMaster File Table（MFT）を標的とします。

しかし、ESETによると、従来の亜種と比較してHybridPetyaはUEFI Secure Boot機能を無効化し、EFIシステムパーティションに悪意のあるアプリケーションをインストールできるとのことです。

さらにもう一つの違いがあります。NotPetyaが「単に」データを破壊することを目的としていたのに対し、HybridPetyaは本物のランサムウェアとして機能します。研究者によれば、組み込まれたアルゴリズムにより、攻撃者は被害者の個別インストールキーから復号キーを再構築できるとのことです。したがって、被害者は理論上、身代金を支払えばデータを取り戻せる可能性があります。ESETが分析したバージョンでは、850ユーロ相当のビットコインが要求されていました。

しかしESETの研究者は、これは研究プロジェクト、概念実証（PoC）、またはまだ限定的なテスト段階にあるサイバー犯罪ツールの初期バージョンである可能性が高いと推測しています。

攻撃の仕組み

侵入するために、このランサムウェアはESETによると、署名済みのMicrosoft EFIファイル（reloader.efi）に存在した、すでに修正済みの脆弱性（CVE-2024-7344）を悪用します。その後、署名されていない悪意のあるファイルcloak.datが読み込まれます。この方法で整合性チェックが回避され、マルウェアはオペレーティングシステムが起動する前に最高権限で実行されます。

インストーラーは正規のWindowsブートローダーを脆弱なバージョンに置き換えます。その後、マルウェアは意図的にシステムをクラッシュさせ、再起動を強制します。起動時に、侵害されたブートローダーがHybridPetyaブートキットを起動し、MFTの暗号化を開始します。

Salsa20アルゴリズムによる暗号化によって、ディスク全体が読み取れなくなります。偽のCHKDSKメッセージが悪意のある活動を隠そうとします。

HybridPetyaランサムウェアはこれまで野生では観測されていませんが、ブートキットベースの新たな脅威世代への警告とみなすべきでしょう。