HybridPetya: буткит UEFI и обход Secure Boot (CVE-2024-7344)

В июле 2025 года исследователи идентифицировали серию образцов вредоносного ПО, по поведению и визуальным приёмам напоминающих Petya и NotPetya. Новая семейство получило рабочее имя HybridPetya. По ключевым характеристикам это не столько классический инструмент для аккуратного шифрования данных, сколько деструктивный ransomware с акцентом на разрушение загрузочной инфраструктуры и обход механизмов защиты.

Ключевые особенности и архитектура

HybridPetya представляет собой набор из двух компонентов: установщика и UEFI bootkit, причём особое внимание в анализе уделено последнему. Среди заметных технических особенностей — способность обходить UEFI Secure Boot с использованием уязвимости CVE-2024-7344.

• Компоненты конфигурации хранятся в файлах в EFI-разделе: EFIMicrosoftBootconfig, EFIMicrosoftBootverify и EFIMicrosoftBootcounter.
• Алгоритм шифрования, применяемый для модификации загрузочных файлов — Salsa20.
• Если система уже помечена как зашифрованная, malware демонстрирует вымогательское сообщение в стиле NotPetya, но с отличающимися суммой, bitcoin-адресом и адресом электронной почты для связи. Примечательно, что bitcoin-адрес остаётся неизменным в разных версиях.

Как работает bootkit

Порядок действий bootkitа при исполнении можно описать так:

• Извлечение конфигурации из EFIMicrosoftBootconfig и проверка флага шифрования.
• Если флаг равен 0 (система помечена как незашифрованная) — bootkit извлекает ключ Salsa20 и одноразовый номер (nonce) из конфигурации.
• Затем он перезаписывает файл конфигурации: обнуляет ключ шифрования и устанавливает флаг шифрования в 1.
• После этого файл EFIMicrosoftBootverify шифруется алгоритмом Salsa20.
• Перед началом шифрования диска создаётся файл EFIMicrosoftBootcounter в системном EFI-разделе — вероятно, для контроля состояния или отсчёта попыток.
• Если флаг в конфигурации уже равен 1, bootkit показывает вымогательское сообщение вместо повторного шифрования.

Установка и обход UEFI Secure Boot

Анализ доступных установщиков показывает, что большинство из них не учитывает сценарии с включённой безопасной загрузкой — то есть типичные инсталляторы не приспособлены для работы в средах с активированным UEFI Secure Boot. Тем не менее, наличие варианта с реальным обходом Secure Boot подтверждено.

В частности, исследователи обнаружили на VirusTotal архив, содержащий bootkit, упакованный вместе с файлом cloak.dat, который напрямую связан с уязвимостью CVE-2024-7344. Это доказывает, что злоумышленники уже экспериментируют с эксплуатацией уязвимости для внедрения в защищённые загрузочные цепочки.

Контекст и тенденции

HybridPetya дополняет растущий список bootkits, способных обходить средства защиты при безопасной загрузке. Ранее были зафиксированы такие угрозы, как BlackLotus, BootKitty и backdoor Hyper-V — все они служат подтверждением концепции: злоумышленники фокусируются на уровне загрузчика и EFI для достижения устойчивого присутствия и обхода стандартных защит.

«Эта тенденция подчёркивает растущую распространённость и интерес к методам обхода защищённой загрузки UEFI при разработке вредоносного ПО, что свидетельствует об опасной эволюции ландшафта киберугроз.»

Выводы

HybridPetya — не просто новая вариация известных Petya/NotPetya: это знак того, что атаки на уровень загрузчика и инструменты для обхода UEFI Secure Boot продолжают развиваться. Наличие модификаций, эксплуатирующих CVE-2024-7344, и подтверждённые образцы, найденные на VirusTotal, указывают на реальную эксплуатацию этой угрозы в дикой природе.

Организациям и администраторам следует учитывать риски, связанные с компрометацией EFI-раздела и загрузочной цепочки, внимательно отслеживать релизы патчей по CVE-2024-7344 и внедрять методы мониторинга целостности загрузочных файлов и конфигураций в EFI.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.