De nieuwe ransomware kan een kwetsbaarheid misbruiken om de Unified Extensible Firmware Interface (UEFI) Secure Boot te omzeilen. Dat is de moderne vervanger van de BIOS. Het is ondertussen de vierde publiek bekende bootkit die een computer kan overnemen voordat het besturingssysteem laadt.
Onderzoekers van beveiliger ESET hebben een ransomware-bootkit ontdekt die de opstartprocedure van een computer kan omzeilen. Ze vonden sporen van wat de ransomware, die ze HybridPetya hebben genoemd, in samples van VirusTotal. De naam is geïnspireerd door de beruchte Petya en NotPetya data wipers, waar deze nieuwe malware gelijkenissen mee vertoont.
Wie het zich nog herinnert: Petya en NotPetya berokkenden in 2016 en 2017 miljarden dollars aan schade door data van bedrijven te wissen. Ook die malware bevatte bootkits die de Master Boot Record (MBR) kon overschrijven. Een en ander betekende dat een geïnfecteerde computer niet meer kon worden opgestart.
Ransomware
Deze nieuwe malware lijkt eerder op een ransomware, niet een ‘wiper’. De malware versleutelt onder meer de Master File Table, waarin belangrijke metadata over de verschillende bestanden op NTFS-partities staat.
Maar net als Petya is deze nieuwe software in staat om een harde schijf te blokkeren. Een van de samples die ESET vond gebruikte daarvoor een kwetsbaarheid in de UEFI. Het gaat om CVE-2024-7344, die eerder dit jaar werd bekendgemaakt, en ondertussen door Microsoft van een patch werd voorzien. Op die manier kan HybridPetya ook modernere UEFI-systemen infecteren.
Momenteel lijkt de code voor HybridPetya nog vooral een testcode of een ‘proof-of-concept’. Er is geen indicatie dat ze al effectief is gebruikt om computers te hacken. Het gaat echter wel om een potentieel gevaarlijke ransomware, net omdat ze de ‘secure boot’ van een computer kan omzeilen, iets wat de meerderheid van de malware niet kan.