Siber güvenlik araştırmacıları, kötü şöhretli Petya/Notpetya kötü amaçlı yazılımlara benzeyen Hybridpetya olarak adlandırılan yeni bir fidye yazılımı suşu keşfederken, aynı zamanda birleştirilmiş genişletilebilir ürün yazılımı arayüzü (UEFI) sistemlerinde güvenli önyükleme mekanizmasını bu yılın başlarında disclessed kullanılarak atlama yeteneğini de dahil etti.
Slovak siber güvenlik şirketi ESET, örneklerin Şubat 2025’te Virustotal platformuna yüklendiğini söyledi.
Güvenlik araştırmacısı Martin Smolár, “Hybridpetya, NTFS biçiminde bölümlerdeki tüm dosyalar hakkında önemli meta veriler içeren ana dosya tablosunu şifreliyor.” Dedi. “Orijinal Petya/Notpetya’nın aksine, Hybridpetya, EFI sistem bölümüne kötü amaçlı bir EFI uygulaması kurarak modern UEFI tabanlı sistemleri tehlikeye atabilir.”
Başka bir deyişle, dağıtılan UEFI uygulaması, NTFS biçimlendirilmiş bölümdeki tüm dosyalarla ilgili meta verileri içeren Ana Dosya Tablosu (MFT) dosyasını şifrelemeye dikkat eden merkezi bileşendir.
Hybridpetya iki ana bileşenle birlikte gelir: bir bootkit ve bir yükleyici, birincisi iki ayrı versiyonda görünür. Yükleyici tarafından dağıtılan bootkit, yapılandırmasını yüklemek ve şifreleme durumunu kontrol etmekten sorumludur. Üç farklı değere sahip olabilir –
- 0 – Şifreleme için hazır
- 1 – Zaten şifreli ve
- 2 – Fidye ödenen, disk çözüldü
Değer 0 olarak ayarlanırsa, bayrağı 1 olarak ayarlamaya devam eder ve yapılandırmada belirtilen anahtar ve nonc’i kullanarak SALSA20 şifreleme algoritması ile \ eFi \ microsoft \ boot \ dosyasını şifreler. Ayrıca, tüm NTFS biçimlendirilmiş bölümlerin disk şifreleme işlemini başlatmadan önce EFI Sistem bölümünde “\ EFI \ Microsoft \ boot \ Counter” adlı bir dosya oluşturur. Dosya, zaten şifrelenmiş disk kümelerini takip etmek için kullanılır.
Ayrıca, bootkit, kurbanın ekranında görüntülenen sahte Chkdsk mesajını mevcut şifreleme durumu hakkında bilgi ile güncellerken, kurban sistemin disk hatalarını onartığını düşünmeye kandırılır.
Bootkit, diskin zaten şifreli olduğunu tespit ederse (yani bayrak 1 olarak ayarlanır), kurbana bir fidye notu sunar ve belirtilen cüzdan adresine (34UNKSKZZVF5AYBJKUA2YYYZW89ZLWXU2) 1000 $ göndermelerini talep eder. Şubat ve Mayıs 2025 arasında 183.32 $ almasına rağmen, cüzdan şu anda boş.
Fidye Notu ekranı, kurbanın ödemeyi yaptıktan sonra operatörden satın alınan aldatma anahtarını girmesi için bir seçenek sunar, ardından bootkit anahtarı doğrular ve “EFI \ Microsoft \ boot \ verify” dosyasını şifresini çözmeye çalışır. Doğru anahtar girilmesi durumunda, bayrak değeri 2 olarak ayarlanır ve “\ EFI \ Microsoft \ Boot \ Counter” dosyasının içeriğini okuyarak şifre çözme adımını başlatır.
Smolár, “Şifa çözülmüş kümelerin sayısı karşı dosyanın değerine eşit olduğunda şifre çözme durur.” Dedi. “MFT şifre çözme işlemi sırasında, bootkit mevcut şifre çözme işlemi durumunu gösterir.”
Şifre çözme aşaması ayrıca, daha önce kurulum işlemi sırasında oluşturulan yedeklemelerden, “\ eFi \ bootx64.efi” ve “\ eFi \ microsoft \ bootx64.efi” ve “\ eFi \ microsoft \ boot \ bootmgfw.efi” ‘i kurtarmayı da içerir. Bu adım tamamlandıktan sonra, kurbanın Windows makinelerini yeniden başlatması istenir.
UEFI Bootkit bileşeninin dağıtım sırasında yükleyici tarafından başlatılan bootloader değişikliklerinin bir sistem çöküşünü (diğer adıyla ölüm veya BSOD) tetiklediğini ve cihaz açıldıktan sonra bootkit ikili yürütülmesini sağladığını belirtmek gerekir.
Howyar Reloader UEFI uygulamasında (“reloader.efi”, bir uzaktan kod yürütme güvenlik açığı olan CVE – 2024-7344’ten (CVSS puanı: 6.7) seçilen hibridpetya’nın seçkin varyantlarının seçtiği tespit edildi.
Varyant ayrıca reloader.efi aracılığıyla yüklenebilen ve Xored Bootkit ikili içeren “cloak.dat” adlı özel hazırlanmış bir dosyaya da paketlenir. Microsoft o zamandan beri Ocak 2025 güncellemesi için Salı günü güncellemesinin bir parçası olarak eski, savunmasız ikili iptal etti.
“Reloader.efi ikili (bootmgfw.efi olarak dağıtıldığında) önyükleme sırasında yürütüldüğünde, EFI sistem bölümünde posta.dat dosyasının varlığını arar ve gömülü UEFI uygulamasını dosyadan çok güvensiz bir şekilde yükler, böylece herhangi bir bütünlük kontrolleri, bypasping UeFi Secure Boot,” ESET Sözünü tamamen görmezden gelir.
Hybridpetya ve Notpetya’nın farklı olduğu bir diğer husus, ikincisinin yıkıcı yeteneklerinden farklı olarak, yeni tanımlanan artefakt, tehdit aktörlerinin şifre çözme anahtarını kurbanın kişisel kurulum anahtarlarından yeniden yapılandırmasına izin vermesidir.
ESET’ten gelen telemetri verileri, vahşi doğada hibridpetya’nın kullanıldığına dair bir kanıt göstermemektedir. Siber güvenlik şirketi ayrıca güvenlik araştırmacısı Aleksandra tarafından UEFI Petya kavram kanıtı (POC) ‘nin son keşfine “Hashereezade” Doniec’in “iki vaka arasında bir ilişki” olabileceğini de ekledi. Bununla birlikte, Hybridpetya’nın da bir POC olabileceği olasılığını göz ardı etmez.
“Hybridpetya, UEFI Güvenli Önyükleme Bypass işlevselliğine sahip, Blacklotus’u (Bootkitty (Saza Logofail) ve Hiper-V Backdoor POC (Rustying CVE –20 –26200’den istismar) ile birlikte gerçek veya kavram kanıtı UEFI Bootkit’in en azından dördüncü örneğidir.
“Bu, güvenli önyükleme bypass’larının sadece mümkün olmadığını gösteriyor, aynı zamanda hem araştırmacılar hem de saldırganlar için daha yaygın ve çekici hale geliyorlar.”