ESET се натъкнаха на зловредна програма, съчетаваща функционалностите на Petya и NotPetya
През 2017 година, в офанзива към сървърите на украинска компания, доставяща известен програмен продукт, незнайна страна съумя да компрометира хиляди системи по целия свят. Petya, каквото име получи програмата, заразяваше започващия операционната система бранш и искаше откуп за декриптирането. Както Petya, по този начин и последвалият неин вид NotPetya, бяха основани на основата на кибероръжие, създадено от Агенцията за национална сигурност на Съединени американски щати (EternaBlue). NotPetya също се оказа кибероръжие. За разлика от Petya, основателите на NotPetya не са търсили финансова полза. Програмата криптира не просто зареждащия бранш, а целия диск, без опция от възобновяване. А в този момент наподобява двете стратегии се завръщат като от дълго време забравено зомби в лицето на една сплотяваща ги стратегия.
Откритието е на компанията за киберсигурност ESET. Те се натъкват на напълно нова зловредна проба, която неотдавна е била качена в уеб страницата за инспекция на файловата сигурност VirusTotal.
Специалистите дават и име на този нов зловред: HybridPetya. ESET не знаят по какъв начин тестът е попаднала във VirusTotal. Програмата може да е дело на експерт по сигурността или на действителен киберпрестъпник. Тяхна честа процедура е да качват в уеб страницата свои стратегии, с цел да видят какъв брой от антивирусните решения ги засичат. Антивирусните компании, като ESET знаят това и наблюдават какво се качва в платформата.
HybridPetya дели функционалности, както с Petya, по този начин и с NotPetya. Особено във образния жанр и веригата за офанзива, която следва програмата. Заедно с това обаче са добавени и нови характерности. Като да вземем за пример опцията за инсталиране в систематичния EFI дял и превъзмогването на защитната характерност Secure Boot. Създателите на HybridPetya вършат това допустимо посредством включването на експлойт за CVE-2024-7344. Уязвимостта, открита от ESET през януари, разрешава инсталирането на „ буткит “ стратегии, дори при задействан Secure Boot. „ Буткит “ са специфичен вид зловредни стратегии, засягащи стартовия развой на операционната система. Зареждащи се преди старта на съответното антивирусно решение, те съумяват да избегнат засичане от негова страна.
След заразяване на системата, програмата заменя EFIMicrosoftBootbootmgfw.efi с уязвима версия с името reloader.efi. Впоследствие отстранява EFIBootbootx64.efi, само че истинската стратегия се резервира за възобновяване при положение, че жертвата заплати откуп. След зареждането си, HybridPetya показва подправен BSOD екран – както го е правил и Petya, предизвиквайки рестарт, Това разрешава на буткита да бъде стартиран. Към този миг, програмата криптира MFT дяла и показва пред жертвата подправено известие, което желае инспекция на здравето на диска. В това време криптирането приключва. След ново рестартиране на системата, пред притежателя ѝ се показва и съответното искане за откуп. Той е в размер на $1000 в биткойни.
ESET споделят, че офанзиви с HybridPetya не са регистрирани досега. Вероятно е обаче такива да стартират, вземайки поради това, че в Интернет съществува към този момент доказателство за успеваемостта на офанзивата. А съответно за тази офанзива, тези, които са конфигурирали януарския Patch Tuesday и CVE-2024-7344 са предпазени.
