HybridPetyaランサムウェアがWindowsセキュアブートを回避

サイバーセキュリティ企業ESETの研究者が、HybridPetyaと呼ばれる新しいランサムウェアを検出しました。これは悪名高いPetyaやNotPetyaマルウェアに似ています。これらの前身と同様に、このマルウェアはNTFSパーティション上のすべてのファイルやディレクトリをカタログ化する中央データベースであるマスターファイルテーブル（MFT）を標的とします。

しかし、ESETによると、HybridPetyaはUEFIセキュアブート機能を上書きし、EFIシステムパーティションに悪意のあるアプリケーションをインストールすることができます。

もう一つの違いもあります。NotPetyaが「単に」データの破壊を目的としていたのに対し、HybridPetyaは本物のランサムウェアとして機能します。研究者によれば、含まれているアルゴリズムによって、攻撃者は被害者の個人インストールキーから復号キーを再構築することができます。理論的には、被害者が身代金を支払えばデータを取り戻せる可能性があります。ESETが分析した亜種は、ビットコインで850ユーロを要求していました。

しかし、ESETの研究者は、これは研究プロジェクト、概念実証（PoC）、またはまだ限定的なテスト段階にあるサイバー犯罪ツールの初期バージョンである可能性が高いと考えています。

攻撃の仕組み

ESETによると、このランサムウェアは、署名済みのMicrosoft EFIファイル（reloader.efi）に存在していた既に修正済みの脆弱性（CVE-2024-7344）を悪用します。その後、cloak.datという署名されていない悪意のあるファイルが読み込まれます。この方法で整合性チェックが回避され、オペレーティングシステムが起動する前に悪意のあるプログラムが実行可能となります。

インストーラーは正規のWindowsブートローダーを脆弱なバージョンに置き換えます。その後、マルウェアは意図的にシステムをクラッシュさせ、再起動を強制します。起動時に、改ざんされたブートローダーがHybridPetyaブートキットを起動し、MFTの暗号化を開始します。

Salsa20アルゴリズムによる暗号化で、ハードディスク全体が読み取れなくなります。偽のCHKDSKメッセージが悪意のある活動を隠すために使われます。

HybridPetyaランサムウェアはまだ実際の攻撃で観測されていませんが、ブートキット型脅威の新世代への警告と見るべきでしょう。