ESET Research, Virustotal Örnek Paylaşım Platformunda keşfedilen Hybridpetya adlı sofistike yeni fidye yazılımı varyantı ortaya çıkardı.
Bu kötü amaçlı yazılım, UEFI tabanlı sistemleri uzlaştırmak ve savunmasız sistemlerde UEFI güvenli önyükleme korumalarını atlamak için CVE-2024-7344’ten yararlanmak için gelişmiş yetenekleri içeren, meşhur Petya/Notpetya fidye yazılımı ailesinin tehlikeli bir evrimini temsil eder.
Seleflerinden farklı olarak, Hybridpetya, modern UEFI tabanlı sistemleri hedefleyerek önemli teknik ilerleme gösterir.
Kötü amaçlı yazılım, doğrudan EFI sistem bölümüne kötü amaçlı bir EFI uygulaması kurar ve önyükleme işlemi üzerinde eşi görülmemiş bir kontrol sağlar.
Bu teknik, fidye yazılımlarının geleneksel kötü amaçlı yazılımlardan daha düşük bir seviyede çalışmasını sağlar, bu da geleneksel güvenlik araçlarını kullanarak algılamayı ve kaldırmayı son derece zorlaştırır.
Kötü amaçlı yazılımın en ilgili özelliği, ESET araştırmasının daha önce 2025’in başlarında açıklanan kritik bir UEFI güvenli bot atlama güvenlik açığı olan CVE-2024-7344’ten yararlanmasıdır.
Özel olarak hazırlanmış bir cloak.dat dosyasından yararlanarak, Hybridpetya, Microsoft’un Ocak 2025 güvenlik güncellemelerini almayan eski sistemlerde güvenli önyükleme korumalarını atlatabilir.
Güvenlik uzmanları, Hybridpetya’nın en azından dördüncü olarak bilinen dördüncü örneği, Blacklotus, Bootkitty ve Hyper-V arka kapı kavramının kepçesine katılan güvenli önyükleme bypass işlevselliğine sahip, güvenli önyükleme bypass işlevselliğiyle temsil ettiğini belirtiyor.
Bu bypass özelliği, kötü amaçlı yazılımları eski sistemleri çalıştıran kuruluşlar veya gecikmiş yama yönetimi döngüleri olan kuruluşlar için özellikle tehlikeli hale getirir.
Teknik analiz ve saldırı metodolojisi
Hybridpetya, öncekilerle aynı yıkıcı şifreleme metodolojisini kullanır ve NTFS biçiminde bölümlerde ana dosya tablosunu (MFT) hedefler.
MFT, sistemdeki tüm dosyalar hakkında kritik meta veriler içerir ve şifrelemesi, fidye ödenene kadar tüm sistemi etkili bir şekilde kullanılamaz hale getirir.
Kötü amaçlı yazılım, 32 bayt anahtar ve 8 bayt nonce ile Salsa20 şifreleme algoritmasını kullanır ve kurbanları sistemlerinin rutin bakım geçirdiğine inanmak için şifreleme işlemi sırasında sahte bir CHKDSK mesajı görüntüler.
Fidye yazılımı örnekleri ilk olarak Şubat 2025’te Polonya’dan Virustotal’a, orijinal Notpetya kampanyasıyla bağlantılarını açıkça gösteren “Notpetyanaw.exe” gibi dosya adları kullanılarak yüklendi.
Bununla birlikte, 2017 saldırıları sırasında 10 milyar doların üzerinde hasar yaratan tamamen yıkıcı Notpetya kötü amaçlı yazılımından farklı olarak, Hybridpetya, operatörlerin ödeme üzerine şifre çözme anahtarları sağlayabilen meşru fidye yazılımı olarak işlev gördüğü görülmektedir.
ESET telemetrisi, hibridpetya’nın şu anda aktif kampanyalarda kullanılmadığını göstermektedir, bu da bunun hala geliştirme veya kavram kanıtı aşamalarında olabileceğini düşündürmektedir.
Kötü amaçlı yazılım, Notpetya’yı bu kadar yıkıcı hale getiren ve potansiyel olarak yayılmasını sınırlayan agresif ağ yayılma yeteneklerinden yoksundur.
Bununla birlikte, güvenlik araştırmacıları, bu örneklerde gösterilen teknik sofistike’nin Hybridpetya’yı gelecekteki izleme için önemli bir tehdit haline getirdiği konusunda uyarıyor.
Fidye yazılımı, orijinal Notpetya’ya benzer fidye notları görüntüler ve bitcoin’de operatörler tarafından kontrol edilen adreslere ödeme talep eder.
Fidye miktarı ve belirli ödeme talimatları, bunun farklı tehdit aktörlerinin çalışması olduğunu gösteren orijinal NotPetya kampanyalarından farklıdır.
Bu eğilim, UEFI güvenli önyükleme bypass’larının hem güvenlik araştırmacıları hem de kötü niyetli aktörler için giderek daha yaygın ve çekici hale geldiğini göstermektedir.
Kuruluşlar, sistemlerinin Microsoft’un CVE-2024-7344 güvenlik açığını ele alan Ocak 2025 güvenlik güncellemelerini almasını sağlayarak kendilerini koruyabilir.
Düzenli güvenlik değerlendirmeleri, uç nokta koruma çözümleri ve mevcut yama seviyelerinin korunması, ortaya çıkan bu tehdit kategorisine karşı temel savunmalar olmaya devam etmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.