Une variante de ransomware nouvellement découverte peut contourner le démarrage sécurisé UEFI.
Des chercheurs de la société de cybersécurité ESET ont détecté un nouveau ransomware appelé HybridPetya, qui est similaire à la tristement célèbre malware Petya et Notpetya. Comme ses prédécesseurs, le malware cible la table de fichiers maître (MFT) – une base de données centrale sur les partitions NTFS qui cataloguent tous les fichiers et répertoires.
Cependant, selon ESET, HybridPetya peut remplacer la fonction de démarrage sécurisée UEFI afin d’installer une application malveillante sur la partition du système EFI.
Il y a aussi une autre différence: bien que NotPetya vise «seulement» à détruire les données, HybridPetya agit comme un véritable ransomware. Selon les chercheurs, l’algorithme qu’il contient permet aux attaquants de reconstruire la clé de décryptage de la clé d’installation personnelle de la victime. Cela pourrait théoriquement permettre aux victimes de récupérer leurs données après avoir payé une rançon. La variante analysée par ESET a exigé 850 euros de Bitcoin.
Cependant, les chercheurs de l’ESET soupçonnent qu’il s’agit d’un projet de recherche, d’une preuve de concept (POC) ou d’une version précoce d’un outil de cybercriminalité qui est encore dans la phase de test limitée.
Comment fonctionne l’attaque
Selon ESET, le ransomware exploite une vulnérabilité déjà corrigée (CVE-2024-7344) dans un fichier Microsoft EFI signé (reloader.efi). Un fichier malveillant non signé nommé Cloak.dat est ensuite chargé. De cette façon, les contrôles d’intégrité sont contournés et le programme malveillant peut être exécuté avant même le début du système d’exploitation.
Le programme d’installation remplace le chargeur de démarrage Windows légitime par la version vulnérable. Le malware écrase ensuite délibérément le système, forçant un redémarrage. Sur le démarrage, le chargeur de démarrage compromis lance le HybridPetya Bootkit et commence le cryptage MFT.
Le chiffrement avec l’algorithme Salsa20 rend l’ensemble du disque dur illisible. Un faux message CHKDSK est utilisé pour masquer l’activité malveillante.
Bien que le ransomware HybridPetya n’ait pas encore été observé dans la nature, il doit être considéré comme un avertissement d’une nouvelle génération de menaces basées sur Bootkit.
