Il nuovo ransomware HybridPetya rappresenta una pericolosa evoluzione delle minacce informatiche rivolte ai sistemi moderni. Questo malware, recentemente individuato dagli esperti di sicurezza, si ispira ai famigerati Petya e NotPetya, ma introduce tecniche più avanzate che consentono di compromettere anche i dispositivi dotati di UEFI Secure Boot, sfruttando la vulnerabilità CVE-2024-7344.

Caratteristiche e funzionamento di HybridPetya

HybridPetya si distingue per la sua capacità di cifrare la Master File Table (MFT) delle partizioni NTFS, ovvero la struttura che contiene i metadati fondamentali di tutti i file. La sua azione rende di fatto irrecuperabili i dati senza la chiave di decrittazione, aumentando notevolmente il danno per la vittima. L’attacco si sviluppa in due componenti principali: un bootkit e un installer. Il bootkit, installato sulla EFI System Partition, verifica lo stato della cifratura e, se necessario, avvia l'encryption del disco utilizzando l’algoritmo Salsa20. Viene inoltre creato un file di “counter” per tenere traccia dei cluster già cifrati, e viene mostrato un messaggio CHKDSK fasullo allo scopo di ingannare l’utente facendogli credere che il sistema stia semplicemente riparando degli errori.

Richiesta di riscatto e decrittazione

Quando il bootkit rileva che il disco è già stato cifrato, presenta alla vittima una richiesta di riscatto: 1000 dollari in Bitcoin da versare a un indirizzo specificato. Il processo di decrittazione può essere avviato solo dopo aver inserito una chiave di sblocco, fornita dagli attaccanti previo pagamento. Durante la fase di decrittazione, il bootkit ripristina anche i bootloader originali, precedentemente salvati, e aggiorna costantemente la schermata di stato per mostrare l’avanzamento dell’operazione.

Bypass di UEFI Secure Boot

Una caratteristica rilevante di HybridPetya è la sua capacità di eludere il meccanismo di Secure Boot di UEFI, grazie allo sfruttamento della vulnerabilità CVE-2024-7344 presente nell’applicazione Howyar Reloader UEFI (reloader.efi). Questo consente al malware di avviarsi prima ancora che il sistema operativo venga caricato, aggirando così i normali controlli di sicurezza e rendendo l’attacco estremamente difficile da bloccare. Microsoft ha già revocato il binario vulnerabile con un aggiornamento di sicurezza, ma il rischio rimane per i sistemi non aggiornati.

L’importanza della sicurezza a livello firmware

Al momento non sono stati segnalati attacchi attivi tramite HybridPetya, ma la sua complessità lo rende una minaccia concreta sia per i ricercatori sia per le potenziali vittime. L’evoluzione dei ransomware in grado di bypassare UEFI Secure Boot mostra come la sicurezza a livello di firmware sia sempre più sotto attacco e richieda attenzione costante.