Die Ransomware HybridPetya nutzt eine bereits gepatchte Microsoft-Lücke, um die UEFI Secure Boot-Funktion auszuhebeln.Forscher des Cybersicherheitsunternehmens ESET haben eine neue Ransomware namens HybridPetya aufgespürt, die der berüchtigten Petya- und NotPetya-Malware ähnelt. Wie ihre Vorgänger zielt die Schadsoftware auf die Master File Table (MFT) ab eine zentrale Datenbank auf NTFS-Partitionen, die alle Dateien und Verzeichnisse katalogisiert.Im Vergleich zu den früheren Varianten kann HybridPetya laut ESET jedoch die UEFI Secure Boot-Funktion aushebeln, um eine schädliche Anwendung auf der EFI-Systempartition zu installieren.Zudem gibt es einen weiteren Unterschied: Während NotPetya ‘nur” darauf aus ist, Daten zu zerstören, fungiert HybridPetya als echte Ransomware. Den Forschern zufolge erlaubt der enthaltene Algorithmus es Angreifern, den Entschlüsselungs-Key aus dem persönlichen Installationsschlüssel des Opfers zu rekonstruieren. So könnten Betroffene ihre Daten theoretisch nach Lösegeldzahlung zurückerhalten. Die von ESET analysierte Variante forderte 850 Euro in Bitcoin.Die ESET-Forscher vermuten jedoch, dass es sich dabei um ein Forschungsprojekt, einen Proof-of-Concept (PoC) oder eine frühe Version eines Cybercrime-Tools handelt, das sich noch in der eingeschränkten Testphase befindet. Um einzudringen, nutzt die Ransomware ESET zufolge eine bereits gepatchte Schwachstelle (CVE-2024-7344) in einer signierten Microsoft EFI-Datei (reloader.efi) aus. Daraufhin wird eine nicht signierte, bösartige Datei namens cloak.dat geladen. Auf diese Weise werden Integritätsprüfungen umgangen und das Schadprogramm kann mit den höchsten Rechten ausgeführt werden noch bevor das Betriebssystem startet.Der Installer ersetzt dabei den legitimen Windows-Bootloader durch die anfällige Version. Anschließend bringt die Malware das System absichtlich zum Absturz, wodurch ein Neustart erzwungen wird. Beim Hochfahren startet der kompromittierte Bootloader das HybridPetya-Bootkit und beginnt die MFT-Verschlüsselung.Durch die Verschlüsselung mit dem Salsa20-Algorithmus wird die gesamte Festplatte unlesbar. Eine gefakte CHKDSK-Meldung soll die bösartige Aktivität verschleiern.Obwohl die HybridPetya-Ransomware bisher noch nicht in freier Wildbahn beobachtet wurde, sollte sie als Warnung vor einer neuen Generation von Bootkit-basierten Bedrohungen angesehen werden.
First seen on csoonline.com
Jump to article: https://www.csoonline.com/article/4057736/hybridpetya-ransomware-knackt-windows-secure-boot.html
