В современном мире киберугроз особенно выделяется новое вредоносное программное обеспечение под названием HybridPetya, которое сочетает в себе функции классического Petya/NotPetya с уникальной способностью обходить встроенную защиту UEFI Secure Boot. Данная вредоносная программа вызывает серьезное беспокойство среди специалистов по информационной безопасности, поскольку она имеет доступ к самым фундаментальным компонентам системы и способна атаковать компьютеры на уровне прошивки, делая традиционные методы защиты безуспешными. Гибридный вирус поступил в поле зрения экспертов в начале 2025 года, когда образцы были загружены на платформу VirusTotal, что позволило исследователям начать изучение новой угрозы. В отличие от предыдущих версий вируса Petya, HybridPetya работает с метаданными файловой системы, шифруя так называемую таблицу главных файлов (Master File Table) на NTFS-разделах. Этот подход позволяет не просто блокировать доступ к отдельным файлам, а полностью парализовать работу с разделами диска, что существенно усложняет восстановление данных.
Одной из главных особенностей HybridPetya является использование модифицированного UEFI загрузчика, который представляет собой вредоносное EFI-приложение, размещенное на специальном разделе EFI System Partition. Именно этот компонент отвечает за управление процессом шифрования. Данная реализация особенно опасна, так как UEFI загружается до загрузки операционной системы и большинства антивирусных программ, что позволяет malware оставаться невидимым и устойчивым к стандартным методам удаления. Компоненты HybridPetya разделены на две части: установщик и загрузчик (bootkit). Загрузчик функционирует в нескольких режимах, отслеживая состояние шифрования диска.
В случае, когда диск еще не зашифрован, malware инициирует процесс шифрования, меняя статус и зашифровывая ключевой файл с использованием алгоритма Salsa20, а также создавая служебный файл, который отслеживает текущий прогресс шифрования на диске. Чтобы максимально замаскировать свои действия, вирус отображает поддельное сообщение проверки и восстановления ошибок диска, вводя пользователя в заблуждение относительно происходящих изменений. В случае уже произведенного шифрования, пользователи видят требование выкупа с инструкциями оплаты в биткоинах на указанный кошелек. Несмотря на то, что сумма выкупа относительно невелика - в пределах 1000 долларов США, разработчики malware предусмотрели возможность ввода полученного ключа дешифрования, который включает проверку и обратное расшифрование данных. Одним из самых тревожных аспектов HybridPetya является его способность эксплуатировать уязвимость CVE-2024-7344, обнаруженную в безопасной загрузке системы на базе Howyar Reloader UEFI.
Это позволило вирусу обойти проверку целостности загрузчика, тем самым нарушая защиты Secure Boot, которые предназначены для предотвращения запуска неподписанного и вредоносного кода во время старта устройства. Важно отметить, что Microsoft уже закрыла данную уязвимость в патче, выпущенном в январе 2025 года, однако на момент появления HybridPetya этот бэкдор представлял существенную угрозу. Эксплуатация этой уязвимости происходит через специальный файл cloak.dat, содержащий зашифрованный загрузчик вредоносного кода. Reloader.
efi загружает этот файл, игнорируя все проверки подписи и целостности, что позволяет коду HybridPetya проникать на уровень системы, обходя защитные механизмы. В отличие от многих известных рансoмваре, HybridPetya сохраняет возможность восстановления данных после внесения выкупа, предоставляя жертве вариант ввода правильного ключа шифрования. Это отличие выгодно выделяет новый вирус среди своих предшественников, которые зачастую лишь разрушали систему без шансов на восстановление. Тем не менее, данный фактор вовсе не смягчает серьезность угрозы, так как большинство пользователей и организаций до сих пор остаются уязвимыми. В последние годы UEFI стал приоритетной целью для атакующих по нескольким причинам.
Поскольку этот прошивочный интерфейс запускается до операционной системы, он обладает высоким уровнем контроля над процессом запуска и способен внедрять вредоносные компоненты, остающиеся активными на протяжении всей жизни системы. Кроме того, такие атаки чрезвычайно трудно обнаружить и устранить, так как они находятся вне традиционных зон контроля антивирусных решений и системного программного обеспечения. Текущие исследования в области кибербезопасности фокусируются на изучении подобных угроз и разработке методов защиты от них. Среди знаковых примеров в этой области стали названия BlackLotus, BootKitty и Hyper-V Backdoor - все они также представляют собой загрузчики, способные обходить UEFI Secure Boot с использованием различных уязвимостей. HybridPetya, в свою очередь, подтверждает тенденцию увеличения атак на низкоуровневый уровень программного обеспечения и становится новым этапом в масштабировании угроз.
Важно отметить, что на сегодняшний день нет достоверных сведений о массовом распространении HybridPetya в реальных условиях. По некоторым предположениям, найденные образцы могут относиться к техническим прототипам или демонстрационным версиям, предназначенным для тестирования возможностей обхода Secure Boot и изучения методов проникновения на уровень UEFI-интерфейса. Впрочем, вероятность появления полноценной версии подобного вредоносного ПО во взломанных системах остается очень высокой, что требует повышенного внимания от IT-специалистов и бизнес-структур. Защита от угроз на уровне UEFI требует комплексного подхода, который включает своевременное обновление прошивок, внедрение надежных методов контроля целостности загрузчиков, а также использование решений следующего поколения в сфере кибербезопасности. Патчи, закрывающие уязвимости, подобные CVE-2024-7344, должны устанавливаться в первую очередь, чтобы минимизировать риски проникновения вредоносных компонентов.
Кроме того, рекомендуется регулярно создавать резервные копии данных и внедрять процессы восстановления в случае инцидентов. Для конечного пользователя также важно повысить общую осведомленность относительно опасностей, связанных с рансoмваре, особенно тех, которые работают на уровне прошивки. Устройство безопасности в современном мире требует постоянного мониторинга, быстрого реагирования и применения лучших практик информационной безопасности, чтобы оставаться защищенным от подобных многоступенчатых атак. В заключение можно сказать, что появление HybridPetya демонстрирует эволюцию вредоносного ПО и подчеркивает, насколько серьезными и сложными становятся современные киберугрозы. Использование эксплойта для обхода Secure Boot и шифрования критически важных данных указывает на растущую угрозу для корпоративного сектора и пользователей по всему миру.
Только благодаря совместным усилиям специалистов в области кибербезопасности, производителей оборудования и разработчиков программного обеспечения можно эффективно противостоять подобным атакам и сохранять безопасность информационных систем. .
