Clicky

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

El nuevo ransomware HybridPetya elude el arranque seguro UEFI

Categoría: Seguridad
Read Time: 7 mins
Visitas: 454
ransomware HybridPetya

HybridPetya incluye dos componentes principales: un bootkit y un instalador

Investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominada HybridPetya que se parece al famoso malware Petya / NotPetya, aunque también incorpora la capacidad de eludir el mecanismo de arranque seguro en sistemas de interfaz de firmware extensible unificada (UEFI) mediante una vulnerabilidad ahora parcheada revelada a principios de este año.

La empresa eslovaca de ciberseguridad ESET dijo que las muestras se cargaron en la plataforma VirusTotal en febrero de 2025.

"HybridPetya cifra la tabla maestra de archivos (MATF), que contiene importantes metadatos sobre todos los archivos en particiones con formato NTFS", declaró el investigador de seguridad Martin Smolár. "A diferencia del Petya/NotPetya original, HybridPetya puede comprometer los sistemas modernos basados ​​en UEFI instalando una aplicación EFI maliciosa en la partición del sistema EFI".

En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de cifrar el archivo de la Tabla Maestra de Archivos (MFT), que contiene metadatos relacionados con todos los archivos en la partición con formato NTFS.

HybridPetya incluye dos componentes principales: un bootkit y un instalador. El primero se presenta en dos versiones distintas. El bootkit, implementado por el instalador, es el principal responsable de cargar su configuración y comprobar su estado de cifrado. Puede tener tres diferentes valores:

0 - listo para el cifrado
1 - ya encriptado, y
2 - Rescate pagado, disco descifrado

Si el valor es 0, el sistema establece el indicador en 1 y cifra el archivo \EFI\Microsoft\Boot\verify con el algoritmo de cifrado Salsa20, utilizando la clave y el nonce especificados en la configuración. También crea un archivo llamado "\EFI\Microsoft\Boot\counter" en la partición del sistema EFI antes de iniciar el proceso de cifrado de disco de todas las particiones con formato NTFS. Este archivo se utiliza para realizar un seguimiento de los clústeres de discos ya cifrados.

Además, el bootkit actualiza el falso mensaje CHKDSK que se muestra en la pantalla de la víctima con información sobre el actual estado de cifrado, mientras que la víctima es engañada haciéndole creer que el sistema está reparando errores de disco.

Si el bootkit detecta que el disco ya está cifrado (es decir, el indicador está en 1), envía una nota de rescate a la víctima, exigiéndole que envíe 1.000 $ en Bitcoin a la dirección de billetera especificada ( 34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2 ). La billetera está actualmente vacía, aunque recibió 183,32 $ entre febrero y mayo de 2025.

La pantalla de la nota de rescate también ofrece a la víctima la opción de introducir la clave de engaño adquirida al operador tras el pago. Tras ello, el bootkit verifica la clave e intenta descifrar el archivo "EFI\Microsoft\Boot\verify". Si se introduce la clave correcta, el valor del indicador se establece en 2 e inicia el descifrado leyendo el contenido del archivo "\EFI\Microsoft\Boot\counter".

"El descifrado se detiene cuando el número de clústeres descifrados es igual al valor del archivo de contador", explicó Smolár. "Durante el proceso de descifrado de MFT, el bootkit muestra el estado actual del proceso de descifrado".

La fase de descifrado también implica que el bootkit recupere los gestores de arranque legítimos ("\EFI\Boot\bootx64.efi" y "\EFI\Microsoft\Boot\bootmgfw.efi") de las copias de seguridad creadas durante la instalación. Una vez completado este paso, se solicita a la víctima que reinicie su equipo Windows.

detalle del ransomware HybridPetya

Vale la pena señalar que los cambios del cargador de arranque iniciados por el instalador durante la implementación del componente bootkit UEFI desencadenan un bloqueo del sistema (también conocido como Pantalla Azul de la Muerte o BSoD) y garantizan que el binario bootkit se ejecute una vez que se enciende el dispositivo.

ESET agregó que se ha descubierto que algunas variantes de HybridPetya explotan CVE-2024-7344 (puntaje CVSS: 6.7), una vulnerabilidad de ejecución remota de código en la aplicación UEFI Howyar Reloader ("reloader.efi", renombrada en el artefacto como "\EFI\Microsoft\Boot\bootmgfw.efi") que podría resultar en una omisión del arranque seguro.

La variante también incluye un archivo especialmente diseñado llamado "cloak.dat", que se puede cargar mediante reloader.efi y contiene el binario de bootkit modificado con XOR. Microsoft ha revocado el antiguo binario vulnerable como parte de su actualización de parches del martes de enero de 2025.

"Cuando se ejecuta el binario reloader.efi (implementado como bootmgfw.efi) durante el arranque, busca la presencia del archivo cloak.dat en la partición del sistema EFI y carga la aplicación UEFI integrada desde el archivo de una manera muy insegura, ignorando por completo cualquier verificación de integridad y, por lo tanto, omitiendo el arranque seguro UEFI", dijo ESET.

Otro aspecto en el que HybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este último, el artefacto recién identificado permite a los actores de la amenaza reconstruir la clave de descifrado a partir de las claves de instalación personales de la víctima.

Los datos de telemetría de ESET no indican evidencia del uso indiscriminado de HybridPetya. La compañía de ciberseguridad también señaló el reciente descubrimiento de una prueba de concepto (PoC) de UEFI Petya por parte de la investigadora de seguridad Aleksandra "Hasherezade" Doniec, y añadió que es posible que exista alguna relación entre ambos casos. Sin embargo, no descarta que HybridPetya también sea una PoC.

"HybridPetya es ahora al menos el cuarto ejemplo conocido públicamente de un bootkit UEFI real o de prueba de concepto con funcionalidad de omisión de arranque seguro UEFI, uniéndose a BlackLotus (que explota CVE-2022-21894), BootKitty (que explota LogoFail) y la PoC de puerta trasera Hyper-V (que explota CVE-2020-26200)", afirmó ESET.

"Esto demuestra que las evasiones del Arranque Seguro no solo son posibles, sino que se están volviendo más comunes y atractivas tanto para investigadores como para atacantes".

UEFI, sucesor del Sistema Básico de Entrada/Salida (BIOS), es un objetivo lucrativo para los atacantes. Dado que UEFI se ejecuta antes que el sistema operativo de una máquina al iniciarse, el malware capaz de infectar el proceso de arranque le permite eludir el software de seguridad tradicional, ejecutar código malicioso con privilegios de alto nivel y hacerlo extremadamente sigiloso y resistente a la eliminación.

#Seguro
#UEFI
#Ransomware
#Arranque

Jesus_Caceres

Related Articles

Cómo instalar dos o más sistemas operativos en un PC

Categoría: Internet (Tutoriales y trucos)
Read Time: 3 mins
Visitas: 3438

Cómo reiniciar el teléfono Android en modo seguro

Categoría: Internet (Tutoriales y trucos)
Read Time: 1 min
Visitas: 3181

Cómo arrancar Windows 10 en modo seguro

Categoría: Internet (Tutoriales y trucos)
Read Time: 4 mins
Visitas: 10703

Main Menu