‘HybridPetya’ ランサムウェアがセキュアブートを回避

出典: WhataWin via Shutterstock

研究者たちは、NotPetyaの破壊的な能力、Petyaランサムウェアの復号可能な暗号化機能、そしてセキュアブート保護を回避する能力を組み合わせた新しいマルウェアの亜種を発見しました。

このマルウェアは、最新のUEFIベースのシステムを2つの攻撃経路で標的にします。EFIシステムパーティションに悪意のあるUEFIペイロードを直接展開し、マスターファイルテーブル（MFT）を暗号化してパーティション上のすべてのファイルをアクセス不能にすることができます。また、一部のサンプルは、Howyar Reloader UEFIアプリケーションの脆弱性であるCVE‑2024‑7344を悪用し、セキュアブートを回避することができます。

HybridPetyaマルウェアはまだ展開されていない

この脅威を「HybridPetya」として追跡しているESETは、最近VirusTotalでサンプルを発見しましたが、現時点で実際に野外でこのマルウェアが展開された証拠はないと述べています。しかし、これはUEFIセキュアブートを回避できるマルウェアとしては少なくとも4例目であり、セキュアブートはシステム起動時に信頼されたデジタル署名済みコードのみが実行されることを保証するためのセキュリティ機能です。

「HybridPetyaは積極的に拡散しているわけではありませんが、その技術的な能力――特にMFT暗号化、UEFIシステム互換性、セキュアブートの回避――は、今後の脅威監視において注目に値します」と、ESETのセキュリティ研究者Martin Smolárはブログ投稿で述べています。このマルウェアは「セキュアブートの回避が可能であるだけでなく、研究者や攻撃者の双方にとってますます一般的かつ魅力的になっていることを示しています。」

Petyaは2016年に登場したランサムウェアで、世界中のコンピュータに爆発的に拡散しました。NotPetyaは2017年にウクライナのシステムを最初に攻撃し、その後世界中で混乱を引き起こした亜種です。ランサムウェアを装っていましたが、NotPetyaは実際には破壊的なワイパーであり、被害者が要求された身代金を支払った場合でもシステムを回復不能にしました。保険会社は、これらの攻撃による被害額が全世界で数十億ドルに上ると推定しています。

HybridPetyaは、両方の亜種の能力を組み合わせている点で異なります。PetyaやNotPetyaと同様に、新しいマルウェアは攻撃者にNTFS（New Technology File System）のマスターファイルテーブルを暗号化し、コンピュータを使用不能にする手段を提供します。ESETの分析では、HybridPetyaのファイル名や一部の動作がNotPetyaを彷彿とさせることも示されました。しかし、HybridPetyaはNotPetyaのようにシステムに大きな混乱を引き起こす能力を持ちながら、セキュリティベンダーによると、マルウェアの運用者が被害者の復号キーを再構築してデータを回復できる点も特徴です。

防御側の観点で最も厄介なのは、HybridPetyaが有害なコードをコンピュータのUEFIファームウェアに直接インストールできることです。これにより、セキュリティチームがマルウェアを検出するのが困難になります。また、オペレーティングシステムを再インストールしたりハードドライブを消去した場合でも、マルウェアがシステムに残り続けることが可能です。

悪意のあるUEFIペイロードを直接展開することに加え、一部のHybridPetyaバージョンには、CVE‑2024‑7344、Howyar Reloader UEFIブートローダーコンポーネントの脆弱性を悪用するエクスプロイトが含まれています。この脆弱性により、攻撃者は起動プロセス中に未署名のソフトウェアをロードし、セキュアブートプロセスを回避することができます。

UEFIブートキットによるサイバー脅威の増大

HybridPetyaの出現は、通常のオペレーティングシステムレベルではなく、コンピュータの起動シーケンスレベルに常駐するUEFIブートキットによる組織への脅威が増大していることを浮き彫りにしています。同様のマルウェアとして公に知られているものは少なくとも3つあります：BlackLotus（2023年、最初に確認された事例）、Bootkitty（Linuxシステムを標的とした初のブートローダー）、およびHyper-V Backdoor（Kasperskyブートローダーの脆弱なコンポーネントを悪用した概念実証マルウェア）です。

セキュリティ研究者たちは、このようなブートキットが検出が困難で、除去も難しいことから、組織にとって明白かつ差し迫った危険であると警告しています。ルートキットが感染デバイスに永続的に残る能力は、オペレーティングシステムやハードドライブを再インストールしても消えないため、ファームウェアやUEFIを適切に更新・パッチ適用する必要性が高まっています。CISAもまた、セキュリティチームがUEFIコンポーネントを他のソフトウェアと同様に監査・管理し、UEFI関連のログを継続的に収集・分析して悪意のある活動の兆候を監視することを推奨しています。