Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominada HybridPetya que se parece a la famosa Petya / No Petya malware, al tiempo que incorpora la capacidad de eludir el mecanismo de arranque seguro en los sistemas de interfaz de firmware extensible unificada (UEFI) mediante una vulnerabilidad ahora parcheada y revelada a principios de este año.
La empresa eslovaca de ciberseguridad ESET dijo que las muestras se subieron a la plataforma VirusTotal en febrero de 2025.
«HybridPetya cifra el Tabla maestra de archivos , que contiene metadatos importantes sobre todos los archivos de las particiones con formato NTFS», dijo el investigador de seguridad Martin Smolár dijo . «A diferencia del Petya/NotPetya original, HybridPetya puede poner en peligro los sistemas modernos basados en UEFI al instalar una aplicación EFI malintencionada en la partición del sistema EFI».
En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de cifrar el archivo de tabla maestra de archivos (MFT), que contiene metadatos relacionados con todos los archivos de la partición con formato NTFS.
HybridPetya viene con dos componentes principales: un kit de arranque y un instalador, y el primero aparece en dos versiones distintas. El kit de arranque, que implementa el instalador, es el principal responsable de cargar su configuración y comprobar su estado de cifrado. Puede tener tres valores diferentes:
- 0: listo para el cifrado
- 1 - ya encriptado, y
- 2 - rescate pagado, disco descifrado
Si el valor se establece en 0, pasa a establecer el indicador en 1 y cifra el archivo\ EFI\ Microsoft\ Boot\ verify con el algoritmo de cifrado Salsa20 mediante la clave y el nonce especificados en la configuración. También crea un archivo denominado «\ EFI\ Microsoft\ Boot\ counter» en la partición del sistema EFI antes de iniciar el proceso de cifrado de disco de todas las particiones con formato NTFS. El archivo se usa para realizar un seguimiento de los clústeres de discos ya cifrados.
Además, el bootkit actualiza el mensaje falso de CHKDSK que aparece en la pantalla de la víctima con información sobre el estado actual de cifrado, mientras que la víctima se engaña haciéndole creer que el sistema está reparando errores del disco.
Si el bootkit detecta que el disco ya está cifrado (es decir, que el indicador está establecido en 1), envía una nota de rescate a la víctima pidiéndole que envíe 1000$ en bitcoins a la dirección de monedero especificada ( 34UNKKSGZZVF5AYBJKUA2YYYZW89ZLWxU2 ). La billetera está vacía actualmente, aunque recibió 183,32 dólares entre febrero y mayo de 2025.
La pantalla de notas de rescate también ofrece a la víctima la opción de introducir la clave engañosa comprada al operador tras realizar el pago, tras lo cual el bootkit verifica la clave e intenta descifrar el archivo «EFI\ Microsoft\ Boot\ verify». Si se introduce la clave correcta, el valor del indicador se establece en 2 y se inicia el paso de descifrado leyendo el contenido del archivo «\ EFI\ Microsoft\ Boot\ counter».
«El descifrado se detiene cuando el número de clústeres descifrados es igual al valor del archivo contador», explica Smolár. «Durante el proceso de descifrado de MFT, el kit de arranque muestra el estado actual del proceso de descifrado».
La fase de descifrado también implica que el kit de arranque recupere los cargadores de arranque legítimos («\ EFI\ Boot\ bootx64.efi» y «\ EFI\ Microsoft\ Boot\ bootmgfw.efi») de las copias de seguridad creadas anteriormente durante el proceso de instalación. Una vez completado este paso, se le pide a la víctima que reinicie su máquina Windows.
Vale la pena señalar que los cambios en el gestor de arranque iniciados por el instalador durante la implementación del componente del kit de arranque UEFI provocan un bloqueo del sistema (también conocido como Blue Screen of Death o BSoD) y garantizan que el binario del kit de arranque se ejecute una vez que se enciende el dispositivo.
Se ha descubierto que algunas variantes de HybridPetya, agregó ESET, explotan CVE‑2024‑7344 (puntuación CVSS: 6.7), una vulnerabilidad de ejecución remota de código en la aplicación UEFI Howyar Reloader («reloader.efi», que en el artefacto pasó a llamarse «\ EFI\ Microsoft\ Boot\ bootmgfw.efi») que podría provocar una omisión del arranque seguro.
La variante también incluye un archivo especialmente diseñado llamado "cloak.dat», que se puede cargar a través de reloader.efi y contiene el binario del kit de arranque XoRed. Microsoft lo ha hecho desde entonces revocado el antiguo y vulnerable binario como parte de su Actualización de Patch Tuesday para la actualización de enero de 2025.
«Cuando el archivo binario reloader.efi (implementado como bootmgfw.efi) se ejecuta durante el arranque, busca la presencia del archivo cloak.dat en la partición del sistema EFI y carga la aplicación UEFI integrada desde el archivo de una manera muy insegura, ignorando por completo cualquier comprobación de integridad y evitando así el arranque seguro de UEFI», afirma ESET.
Otro aspecto en el que HybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este último, el artefacto recientemente identificado permite a los actores de la amenaza reconstruir la clave de descifrado a partir de las claves de instalación personales de la víctima.
Los datos de telemetría de ESET indican que no hay evidencia de que HybridPetya se esté utilizando en la naturaleza. La empresa de ciberseguridad también señaló que descubrimiento reciente de un Prueba de concepto de UEFI Petya (PoC), de la investigadora de seguridad Aleksandra «Hasherezade» Doniec, y añade que es posible que haya «alguna relación entre los dos casos». Sin embargo, no descarta la posibilidad de que HybridPetya también sea una PoC.
«HybridPetya es ahora al menos el cuarto ejemplo conocido públicamente de un kit de arranque UEFI real o de prueba de concepto con la función de omisión de arranque seguro de UEFI, uniéndose a Loto negro (explotando CVE‑2022‑21894), Boot Kitty (explotando LogoFail) y el PoC de puerta trasera Hyper-V (explotando CVE‑2020‑26200)», afirmó ESET.
«Esto demuestra que los desvíos de Secure Boot no solo son posibles, sino que cada vez son más comunes y atractivos tanto para los investigadores como para los atacantes».