HybridPetya: UEFI-ransomware med Secure Boot-bypass

Eskil Sørensen

09.22.2025 11:54

Ny variant af Petya-familien udnytter CVE-2024-7344 til at angribe moderne systemer

En ny ransomware kaldet HybridPetya er dukket op, efter at den er blevet dokumenteret af ESET og omtalt i The Hacker News. Den kombinerer klassiske Petya/NotPetya-teknikker med en UEFI-baseret bootkit, der udnytter en nu lukket sårbarhed (CVE-2024-7344) til at omgå Secure Boot.

Kryptering på firmware-niveau

HybridPetya angriber NTFS-partitioner ved at kryptere Master File Table (MFT) via en EFI-applikation, som installeres på EFI System Partition. Bootkittet styrer krypteringsstatus og manipulerer opstartsprocessen med falske CHKDSK-beskeder, mens det reelt krypterer disken, fremgår det.

Hvis systemet allerede er krypteret, præsenteres man for et krav om løsesum på 1.000 dollar i Bitcoin. Offeret kan så indtaste en dekrypteringsnøgle, som bootkittet verificerer og bruger til at gendanne systemet – herunder legitime bootloaders fra backup.

Proof-of-Concept eller reel trussel?

HybridPetya udnytter en sårbarhed i UEFI-applikationen Howyar Reloader (reloader.efi), som tillader bypass af Secure Boot. En fil kaldet cloak.dat indeholder en XOR-krypteret bootkit, som indlæses uden integritetskontrol. Microsoft har siden tilbagekaldt den sårbare binære fil i januar 2025.

The Hacker News skriver, at der endnu er ingen tegn på, at HybridPetya er blevet anvendt i angreb "in-the-wild". ESET peger på mulige forbindelser til en tidligere UEFI Petya PoC udviklet af sikkerhedsresearcheren Hasherezade. Det er uklart, om HybridPetya er en videreudvikling eller blot en teknisk demonstration.

HybridPetya føjer sig til en voksende række af UEFI-baserede trusler som BlackLotus, BootKitty og Hyper-V Backdoor. Det understreger, at Secure Boot-bypass ikke længere er en teoretisk mulighed – det er en aktiv angrebsvektor, hedder det.

Læs mere

https://thehackernews.com/2025/09/new-hybridpetya-ransomware-bypasses.html

Information