Uç nokta güvenliği, donanım / çip düzeyinde güvenlik
ESET, Henüz Wild’da Dağıtım yapılmadı, diyor ESET
Anviksha More (Anvikshamore) •
12 Eylül 2025
ESET’teki araştırmacılar Cuma günü, ünlü Petya/Notpetya kötü amaçlı yazılımlarının “Hybridpetya” olarak adlandırdıklarını tespit ettiklerini söyledi.
Ayrıca bakınız: İş yerinde yeni bir AI dönemine yükseltin
Hybridpetya’nın vahşi doğada konuşlandırıldığını önermek için hiçbir telemetri yoktur ve 2017’de 10 milyar dolar hasara neden olan küresel bir enfeksiyona dönüşen Notpetya’nın agresif yayılma özelliklerinden yoksundur.
Ayrıca bir anahtar açıdan farklıdır: kötü amaçlı bir uygulama yükleyerek birleşik genişletilebilir ürün yazılımı arayüzünün güvenli önyükleme özelliğini tehlikeye atabilir. Blacklotus, Bootkitty ve Hyper-V Backdoor Concept gibi konsept Uefi Bootkits’in gerçek veya kanıtlarının bir listesine katılır.
Saldırgan Ödülü Bootkits Bu seviyedeki kötü amaçlı yazılımlar antivirüs uygulamaları tarafından algılamadan kaçınabilir ve işletim sistemi yeniden yükleyebilir. UEFI’ye erişim ile bilgisayar korsanları kendi çekirdek modu yüklerini dağıtabilir.
Hybridpetya, Windows makinelerinde tutulan NTFS biçimlendirilmiş dosyalar için dosya, dizin ve metafile verileri depolama dosyasını, dizinini ve metafile verilerini şifreleyerek öncüllerini yansıtır. Benzer bir saldırı zinciri kullanır ve aynı görsel öğelerden bazılarına sahiptir. Ancak seleflerinden bir diğer önemli fark, Hybridpetya’nın kötü niyetli bir şekilde kripto-kilidi olan dosyaları çözme olasılığını yaratmasıdır.
Hybridpetya bir sistemin kontrolünü ele geçirdiğinde ve ana dosya tablosunu şifrelediğinde, kurbanı Bitcoin’de 1.000 dolarlık ödeme talep eden bir fidye notu sunar.
ESET, Şubat ayında Google’ın Virustotal platformuna yüklenen Hybridpetya örneklerini bulduğunu söyledi. Bu, araştırmacıyı bir bootkit varyant araştırmacılarını içeren bir arşive yönlendirdi, neredeyse kesinlikle Hybridpetya araç setinin bir parçası. Bu yükleyici, Microsoft imzalı bir UEFI uygulamasında bir kusur olan CVE-2024-7344’ten yararlanır. reloader.efi bilgi işlem devi Ocak ayında onayları iptal etti (bkz: Araştırmacılar ciddi UEFI Güvenli Önyükleme Bypass kusurunu bulur).
ESET, sömürü mekanizması basittir. Bir dosya, cloak.dat bir UEFI uygulaması içerir. Ne zaman reloader.efi İkili önyükleme sırasında yürütülür, “EFI Sistem bölümünde cloak.dat dosyasının varlığını arar ve gömülü UEFI uygulamasını dosyadan çok güvensiz bir şekilde yükler, böylece tüm bütünlük kontrollerini tamamen görmezden gelir, böylece UEFI güvenli botu atlar.”
ESET, Hybridpetya’nın arkasındaki bilgisayar korsanlarının muhtemelen kendileri için tasarlandığını söyledi. cloak.dat format. Yamayı CVE-2024-7344’e taşıyan Windows makineleri kötü amaçlı yazılımlara karşı savunmasız değildir.