Networking

Ransomware hybridpetya baru dapat memotong boot aman uefi

65
ransomware-hybridpetya-baru-dapat-memotong-boot-aman-uefi
Ransomware hybridpetya baru dapat memotong boot aman uefi

Strain ransomware yang baru ditemukan yang disebut HybridPetya dapat memotong fitur boot aman UEFI untuk menginstal aplikasi jahat pada partisi sistem EFI.

Hybridpetya tampak terinspirasi oleh malware petya/notpetya yang merusak yang dienkripsi komputer dan mencegah jendela boot dalam serangan di 2016 Dan 2017 tetapi tidak memberikan opsi pemulihan.

Para peneliti di perusahaan cybersecurity ESET menemukan sampel hybridpetya pada virustotal. Mereka mencatat bahwa ini mungkin proyek penelitian, pembuktian konsep, atau versi awal alat kejahatan dunia maya yang masih dalam pengujian terbatas.

Namun, ESET mengatakan bahwa kehadirannya adalah contoh lain (bersama Blacklotus, Bootkittydan hyper-V backdoor) bahwa bootkit UEFI dengan fungsi bypass yang aman adalah ancaman nyata.

Hybridpetya menggabungkan karakteristik dari Petya dan Notpetya, termasuk gaya visual dan rantai serangan dari strain malware yang lebih tua ini.

Namun, pengembang menambahkan hal -hal baru seperti instalasi ke partisi sistem EFI dan kemampuan untuk mem -boot boot aman dengan mengeksploitasi CVE-2024-7344 kerentanan.

ESET menemukan cacat pada bulan Januari tahun ini, masalah ini terdiri dari aplikasi yang ditandatangani Microsoft yang dapat dieksploitasi untuk menggunakan bootkit bahkan dengan perlindungan boot aman yang aktif pada target.

Logika Eksekusi
Sumber: ESET

Setelah diluncurkan, HybridPetya menentukan apakah host menggunakan UEFI dengan GPT partisi dan memasukkan bootkit berbahaya ke partisi sistem EFI yang terdiri dari beberapa file.

Ini termasuk file konfigurasi dan validasi, bootloader yang dimodifikasi, fallback UEFI bootloader, wadah payload eksploitasi, dan file status yang melacak kemajuan enkripsi.

ESET mencantumkan file -file berikut yang digunakan di seluruh varian yang dianalisis dari hybridpetya:

  1. Efi microsoft boot config (flag enkripsi + tombol + nonce + id korban)
  2. Efi microsoft boot verifikasi (digunakan untuk memvalidasi kunci dekripsi yang benar)
  3. Efi microsoft boot counter (pelacak kemajuan untuk kelompok terenkripsi)
  4. Efi microsoft boot bootmgfw.efi.old (cadangan bootloader asli)
  5. Efi microsoft boot cloak.dat (berisi xored bootkit dalam varian bypass boot aman)

Juga, malware menggantikan efi microsoft boot bootmgfw.efi dengan ‘reloader.efi,’ dan menghapus efi bootx64.efi.

Windows Bootloader asli juga disimpan untuk diaktifkan dalam kasus restorasi yang berhasil, yang berarti bahwa korban membayar tebusan.

Setelah digunakan, Hybridpetya memicu BSOD yang menampilkan kesalahan palsu, seperti yang dilakukan Petya, dan memaksa sistem reboot, memungkinkan bootkit berbahaya untuk dieksekusi pada boot sistem.

Pada langkah ini, ransomware mengenkripsi semua cluster MFT menggunakan kunci Salsa20 dan nonce yang diekstraksi dari file konfigurasi sambil menampilkan pesan CHKDSK palsu, seperti notpetya.

Pesan CHKDSK palsu
Sumber: ESET

Setelah enkripsi selesai, reboot lain dipicu dan korban dilayani catatan tebusan selama boot sistem, menuntut pembayaran bitcoin sebesar $ 1.000.

Catatan tebusan Hybridpetya
Sumber: ESET

Sebagai gantinya, korban diberikan kunci 32 karakter yang dapat mereka masukkan pada layar catatan tebusan, yang mengembalikan bootloader asli, mendekripsi cluster, dan meminta pengguna untuk reboot.

Meskipun hybridpetya belum diamati dalam serangan nyata di alam liar, proyek serupa dapat memilih untuk mempersenjatai POC dan menggunakannya dalam kampanye luas yang menargetkan sistem Windows yang tidak ditandingi kapan saja.

Indikator kompromi untuk membantu mempertahankan terhadap ancaman ini telah tersedia untuk ini Repositori GitHub.

Microsoft Memperbaiki CVE-2024-7344 dengan Januari 2025 Patch Selasajadi sistem Windows yang telah menerapkan pembaruan keamanan ini atau lebih lambat dilindungi dari hybridpetya.

Praktik solid lainnya melawan ransomware adalah menjaga cadangan offline data terpenting Anda, memungkinkan restorasi sistem yang gratis dan mudah.

Exit mobile version