Pesquisadores da empresa de segurança ESET identificaram uma nova cepa de ransomware chamada HybridPetya. O que torna esse malware particularmente preocupante é sua capacidade de comprometer sistemas modernos que utilizam UEFI (Unified Extensible Firmware Interface) e de ignorar o mecanismo de Secure Boot em máquinas que não foram devidamente atualizadas.
O HybridPetya foi detectado pela primeira vez quando amostras do malware foram carregadas para o serviço VirusTotal em fevereiro de 2025. A partir da análise feita pela ESET, esse malware combina características dos antigos Petya e NotPetya, especialmente no modo como trata a partida do sistema (boot) e como encripta dados críticos.
O funcionamento básico do HybridPetya envolve dois componentes principais: um instalador que atua em ambiente Windows e um bootkit que opera na fase de pré-inicialização, dentro do ambiente UEFI. O instalador prepara o sistema, localiza a partição EFI (EFI System Partition), copia ou faz backup de bootloaders legítimos, instala arquivos de configuração e prepara um componente que será executado logo no boot do sistema.
A parte técnica que permite ignorar o Secure Boot está ligada à exploração de uma vulnerabilidade identificada como CVE-2024-7344. Essa falha está presente em uma aplicação UEFI denominada Howyar Reloader (reloader.efi) ou algo equivalente, que em versões desatualizadas aceita carregar arquivos específicos sem realizar as verificações de assinatura esperadas.
Em concreto, uma variante do HybridPetya utiliza um arquivo chamado cloak.dat que contém, de forma codificada (XOR), um componente EFI malicioso. O reloader.efi vulnerável executa esse cloak.dat durante o boot a partir da partição EFI, ignorando as proteções de integridade que normalmente são garantidas pelo Secure Boot. Isso permite que o bootkit malicioso assuma controle antes mesmo do sistema operacional carregar.
Depois disso ele ataca a Master File Table (MFT) de partições NTFS, que é uma estrutura que contém metadados essenciais sobre os arquivos de todas as partições NTFS do disco. A criptografia da MFT, em vez da encriptação completa dos arquivos individuais, já torna o sistema praticamente inutilizável porque impede que o sistema operacional localize ou gerencie arquivos adequadamente.
Há ainda um artifício de dissimulação: durante o processo de encriptação ele exibe uma mensagem falsa de “CHKDSK” (o utilitário de verificação de disco do Windows), fazendo o usuário acreditar que ocorrem reparos normais de disco quando, na verdade, ocorre o dano malicioso.
Quanto ao resgate, a variante analisada demanda cerca de US$ 1.000 em Bitcoin como pagamento. Caso a vítima pague, há procedimento para inserir uma chave de decriptação, reconstruir certos bootloaders legítimos previamente salvos como backup, restaurar a MFT e reiniciar o sistema.
Importante frisar que a ESET diz não haver, até o momento, nenhum indício de que o HybridPetya esteja sendo usado em larga escala no mundo real. As amostras encontradas parecem mais próximas de provas de conceito ou de testes, ainda sem propagação agressiva como se viu com o NotPetya.
Também foi observado que sistemas com firmware atualizado, especialmente que receberam a atualização dbx da Microsoft relativa a janeiro de 2025, estão protegidos contra esse tipo de bypass da CVE-2024-7344.