I ricercatori di ESET hanno identificato un sofisticato malware che combina le caratteristiche di un ransomware con quelle di un bootkit, capace di aggirare le protezioni UEFI Secure Boot considerate fino a poco tempo fa pressoché inviolabili.
Battezzato HybridPetya per le sue somiglianze con i famigerati predecessori Petya e NotPetya, questo codice malevolo rappresenta il quarto caso documentato di software in grado di compromettere le macchine prima ancora che il sistema operativo venga caricato. La scoperta è avvenuta dopo che alcuni campioni del malware sono stati caricati su VirusTotal nel febbraio scorso, alimentando le preoccupazioni della comunità della sicurezza informatica.
Per comprendere la portata di questa minaccia, è necessario tornare al 2017, quando NotPetya seminò il panico a livello mondiale causando danni per oltre 10 miliardi di dollari. Quel malware, che si spacciava per il ransomware Petya del 2016, conteneva anch'esso un bootkit capace di sovrascrivere il Master Boot Record (MBR) dei computer infetti, bloccando completamente l'accesso ai dischi rigidi e impedendo l'avvio del sistema operativo. La nuova variante HybridPetya eredita questo comportamento distruttivo, ma lo evolve sfruttando una vulnerabilità UEFI catalogata come CVE‑2024‑7344.
Questa falla di sicurezza, scoperta e resa pubblica dallo stesso team ESET nel corso dell'anno, è stata successivamente corretta da Microsoft attraverso la revoca nei database dbx delle macchine aggiornate. Tuttavia, i sistemi non ì aggiornati rimangono vulnerabili a questo tipo di attacco, che può installare applicazioni EFI malevole nella partizione del sistema.
Anatomia di un attacco che bypassa ogni difesa
Il funzionamento di HybridPetya rivela una sofisticazione tecnica notevole. Come spiega Martin Smolár, ricercatore ESET specializzato in malware, "HybridPetya è in grado di compromettere i sistemi UEFI moderni installando un'applicazione EFI malevola nella partizione del sistema EFI". Una volta attivato, il bootkit carica la propria configurazione dal file \EFI\Microsoft\Boot\config e verifica lo stato di cifratura del sistema, che può assumere tre valori: pronto per la cifratura (0), già cifrato (1), o riscatto pagato e disco decifrato (2).
Durante il processo di cifratura, il malware mostra sullo schermo un falso messaggio di Windows "CHKDSK" per far credere alla vittima che sia in corso una normale verifica degli errori del disco, non una cifratura. Questo stratagemma è identico a quello utilizzato dai suoi predecessori, e ci dice che certe tecniche restano valide anche dopo anni - probabilmente perché puntano sulle persone più che sui computer.
Un riscatto da mille dollari per recuperare i dati
A differenza del distruttivo NotPetya, che eliminava definitivamente i dati, HybridPetya funziona come un vero ransomware. Quando il disco risulta cifrato, il bootkit presenta una richiesta di riscatto che inizia con la familiare frase "Ooops, your important files are encrypted" e richiede il pagamento di 1.000 dollari in Bitcoin a un portafoglio attualmente vuoto. L'algoritmo utilizzato per generare la chiave personale di installazione della vittima consente teoricamente agli operatori del malware di ricostruire la chiave di decifratura, rendendo possibile il recupero dei file una volta effettuato il pagamento.
Il processo di cifratura si concentra sulla Master File Table (MFT) del file system NTFS, un file di metadati cruciale che contiene informazioni su tutti i file presenti nella partizione. Utilizzando l'algoritmo di cifratura Salsa20 con chiave e nonce specificati nei dati di configurazione, il malware crea anche un file contatore per tenere traccia dei cluster del disco già cifrati.
Fortunatamente, gli esperti ritengono che HybridPetya sia attualmente solo un proof-of-concept e non hanno rilevato indicazioni del suo utilizzo in attacchi reali. Inoltre, a differenza di NotPetya, non presenta le stesse capacità aggressive di propagazione attraverso la rete. Tuttavia, come sottolinea Smolár, "sebbene HybridPetya non si stia diffondendo attivamente, le sue capacità tecniche – specialmente la cifratura MFT, la compatibilità con sistemi UEFI e il bypass di Secure Boot – lo rendono degno di nota per il monitoraggio futuro delle minacce".
La scoperta di HybridPetya si aggiunge a una serie crescente di bypass documentati delle protezioni Secure Boot. Nel 2023, lo stesso Smolár aveva analizzato BlackLotus, il primo bootkit commerciale di questo tipo identificato da Sergey Lozhkin di Kaspersky sui mercati del cybercrime. Lo scorso novembre, ESET ha inoltre individuato Bootkitty, una variante progettata per colpire i sistemi Linux, dimostrando come queste tecniche si stiano espandendo oltre l'ecosistema Windows.
