В эпоху постоянного развития киберугроз становится всё сложнее обеспечить надёжную защиту персональных компьютеров и корпоративных систем. Одним из ключевых элементов современной безопасности является механизм Secure Boot, разработанный для предотвращения загрузки неподписанного и потенциально вредоносного кода на этапе старта операционной системы. На протяжении многих лет считалось, что этот механизм является надёжным барьером против различных видов вредоносных программ, особенно тех, которые пытаются завладеть компьютером до запуска Windows. Однако появление вредоносного ПО, способного обходить Secure Boot, разрушает эти устоявшиеся представления, демонстрируя уязвимости и риски, с которыми сталкиваются пользователи и специалисты по безопасности. Одним из ярких примеров становится недавно выявленный гибридный зловред HybridPetya, который способен обходить Secure Boot на уязвимых системах Windows, используя уязвимость в UEFI и шифруя данные на диске, чтобы добиться выкупа от жертвы.
HybridPetya впервые был обнаружен экспертами компании ESET после изучения образцов, загруженных на платформу VirusTotal в начале 2025 года. Исследователи дали вредоносному коду такое название из-за его внешнего сходства с печально известным Petya и NotPetya, известными своими разрушительными действиями в 2017 году. Несмотря на то, что на данный момент HybridPetya рассматривается как доказательство концепции (Proof-of-Concept) и не был замечен в реальных атаках, он подчёркивает опасность существующих уязвимостей в UEFI и сама возможность обхода Secure Boot. Одной из ключевых технических особенностей HybridPetya является использование уязвимости под идентификатором CVE-2024-7344, которая была обнаружена и своевременно раскрыта исследователями. Она позволяла установить вредоносное EFI-приложение в системный раздел EFI, после чего программа могла осуществлять зашифровку важных системных метаданных на жёстком диске, таких как главная таблица файлов (Master File Table) для файловой системы NTFS.
Эта таблица критична для правильного функционирования операционной системы и наличия доступа к файлам пользователя. Шифрование MFT фактически приводит к блокировке доступа ко всем данным на диске. Интересно, что в отличие от своего наследника NotPetya, который был направлен исключительно на уничтожение данных, HybridPetya обладает полноценной функцией шифрования с последующим требованием выкупа, то есть является настоящим ransomware. Вредонос генерирует уникальный ключ установки для каждой жертвы, что позволяет злоумышленникам восстановить ключ расшифровки после оплаты выкупа, если пользователь согласится платить. При этом высвечивается поддельное окно проверки диска Windows с сообщением CHKDSK, что призвано ввести пользователя в заблуждение о причине долгой работы системы и скрыть истинные процессы шифрования.
Алгоритм работы HybridPetya во многом копирует логику оригинальных Petya и NotPetya. При запуске загрузчик из UEFI считывает конфигурационный файл, в котором хранится статус шифрования - подготовка к шифрованию, уже зашифровано либо выкуп оплачен и диск расшифрован. Если система готова к шифрованию, вредонос переписывает статус таким образом, чтобы не запускать процесс повторного шифрования, а затем приступает к поэтапному шифрованию данных на диске с использованием алгоритма Salsa20. Поскольку Secure Boot является одной из самых значимых технологий защиты современного компьютера, призванных предотвратить запуск вредоносного кода на этапе загрузки, факт наличия способов его обхода является поводом для серьёзных опасений. Многие специалисты ещё несколько лет назад считали возможность успешной эксплуатации уязвимостей Secure Boot скорее мифом, а не реальной угрозой.
Однако появление проектов вроде HybridPetya и уже зафиксированных кейсов BlackLotus, Bootkitty и Hyper-V Backdoor демонстрирует обратное. Secure Boot внедрён для обеспечения того, чтобы только доверенные загрузочные компоненты с валидными цифровыми подписями могли быть выполнены во время старта системы. Злоумышленники, эксплуатирующие уязвимости в UEFI-прошивке, получают возможность обойти это ограничение, загружая и исполняя собственный код до старта основной ОС. Это создаёт критический вектор атаки, позволяющий скрытно захватить контроль над системой на низком уровне, что значительно усложняет поиск и удаление вредоносного ПО традиционными средствами защиты. Для защиты пользователей Microsoft оперативно обновила списки отозванных сертификатов (dbx), позволяя блокировать запуск известных вредоносных EFI-приложений на исправленных системах.
Однако это решение носит реактивный характер и не гарантирует абсолютную защиту от появления новых, ещё неизвестных уязвимостей. Кроме того, не все пользователи держат свои системы в состоянии актуальных обновлений, а тем более устройства с отключённым Secure Boot остаются полностью уязвимыми. Примечательно, что исследователи сообщают о развитии подобных загружаемых через UEFI загрузчиков и в среде Linux. Появление проектов вроде Bootkitty, нацеленного на Linux, доказывает, что атаки на этот уровень системы выйдут за рамки Windows-окружения в ближайшем будущем. Учитывая распространение UEFI и Secure Boot в современных ПК, эта угроза приобретает глобальный масштаб.
На сегодняшний день HybridPetya, хоть и остаётся лабораторным образцом, служит серьёзным предупреждением для индустрии информационной безопасности и пользователей по всему миру. Он демонстрирует, что эффективность защиты Secure Boot можно преодолеть с помощью продвинутых методов эксплойтов, а также необходимость постоянного мониторинга, анализа и своевременного реагирования на новые угрозы. Переход на защищённые платформы требует комплексного подхода, включающего своевременное обновление ПО и прошивок, контроль целостности загрузочных компонентов и использование современных средств обнаружения угроз, способных выявлять подозрительную активность на ранних этапах. Киберпреступники уже демонстрируют высокий уровень технического мастерства и готовы использовать даже самые сложные уязвимости, что ставит перед специалистами серьёзные вызовы. HybridPetya также напоминает, что пользовательская осведомлённость и соблюдение базовых правил кибергигиены остаются ключевыми элементами в защите.
Необходимо избегать запуска подозрительного ПО, регулярно создавать резервные копии данных, использовать надёжные антивирусные решения и следить за обновлениями как операционных систем, так и аппаратной прошивки. В заключение, появление и изучение гибридных угроз, подобных HybridPetya, подчёркивают динамику развития угроз в пространстве компьютерной безопасности. Они заставляют пересмотреть традиционные подходы к защите и требуют усиленного внимания к механизмам Secure Boot и UEFI. Лишь непрерывная работа специалистов, индустрии и пользователей в целом сможет обеспечить уровень безопасности, необходимый для противостояния таким сложным и изощрённым атакам в будущем. .
![NASA's Juno Mission Captures [Green] Lightning on Jupiter (2023)](/images/1736BDDB-DEB6-47DF-89AD-8A52BBF461B0)
