Foi descoberto um novo ransomware – HybridPetya – que consegue ultrapassar o UEFI Secure Boot.
Um novo ransomware chamado HybridPetya foi descoberto pela ESET e está a levantar preocupações. Inspirado nos ataques devastadores do Petya/NotPetya de 2016 e 2017, este malware consegue instalar-se directamente na EFI System Partition e ultrapassar a proteção do UEFI Secure Boot.Segundo a ESET, o ransomware tira partido da vulnerabilidade CVE-2024-7344 – já corrigida pela Microsoft em Janeiro de 2025 – que permitia a execução de bootkits mesmo com o Secure Boot activo. Apesar de ainda não ter sido visto em ataques reais, a descoberta mostra que esta técnica é viável e pode ser usada em campanhas futuras contra sistemas Windows desactualizados.
O HybridPetya segue a lógica dos ataques anteriores, exibindo mensagens falsas de CHKDSK, causando reinícios forçados e encriptando os dados através do algoritmo Salsa20. No final, apresenta uma nota de resgate que exige $1.000 em Bitcoin para que as vítimas possam recuperar os seus dados.
A boa notícia é que quem mantém o Windows actualizado com os patches de segurança mais recentes (apesar dos muitos bugs a que isso possa sujeitar) já está protegido desta ameaça. Como sempre, é também crítico manter backups para acautelar contra estas, e outras (avarias, roubos, etc.) eventualidades.
(Ptnik)