⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores de segurança cibernética descobriram uma nova tensão de ransomware apelidada de hybridpetya que se assemelha ao notório malware petya/notpetya, além de incorporar a capacidade de ignorar o mecanismo de inicialização seguro em sistemas unificados de interface de firmware (UEFI), usando um número de vulnerabilidades exageradas e exageradas.
A empresa eslovaca de segurança cibernética Eset disse que as amostras foram carregadas para a plataforma Virustototal em fevereiro de 2025.
"Hybridpetya criptografa a tabela de arquivos mestre, que contém metadados importantes sobre todos os arquivos nas partições formatadas por NTFS", disse o pesquisador de segurança Martin Smolár. "Ao contrário do Petya/Notpetya original, a Hybridpetya pode comprometer os sistemas modernos baseados em UEFI, instalando um aplicativo EFI malicioso na partição do sistema EFI".
Em outras palavras, o aplicativo UEFI implantado é o componente central que cuida da criptografia do arquivo MFT (Arquivo Mestre), que contém metadados relacionados a todos os arquivos na partição formatada por NTFS.
O HybridPetya vem com dois componentes principais: um bootkit e um instalador, com o primeiro aparecendo em duas versões distintas. O BootKit, que é implantado pelo instalador, é principalmente responsável por carregar sua configuração e verificar seu status de criptografia. Pode ter três valores diferentes -
0 - Pronto para criptografia
1 - já criptografado e
2 - Ransom pago, disco descriptografado
Se o valor for definido como 0, ele continuará definindo o sinalizador como 1 e criptografa o arquivo \ efi \ microsoft \ boot \ verify com o algoritmo de criptografia salsa20 usando a chave e o não -ce especificado na configuração. Ele também cria um arquivo chamado "\ efi \ Microsoft \ Boot \ Counter" na partição do sistema EFI antes de iniciar o processo de criptografia de disco de todas as partições formatadas por NTFS. O arquivo é usado para acompanhar os clusters de disco já criptografados.
Além disso, o BootKit atualiza a mensagem FALSE CHKDSK exibida na tela da vítima com informações sobre o status atual de criptografia, enquanto a vítima é enganada ao pensar que o sistema está reparando erros de disco.
Se o bootkit detectar que o disco já está criptografado (ou seja, o sinalizador está definido como 1), serve uma nota de resgate à vítima, exigindo que eles enviem US $ 1.000 em bitcoin para o endereço da carteira especificado (34unkksgzzvf5aybjkua2yyzw89zlwxu. A carteira está atualmente vazia, embora tenha recebido US $ 183,32 entre fevereiro e maio de 2025.
A tela Ransom Note também oferece uma opção para a vítima inserir a chave de engano comprada do operador depois de efetuar o pagamento, após o qual o bootkit verifica a chave e tenta descriptografar o arquivo "efi \ microsoft \ boot \ verify". Caso a tecla correta seja inserida, o valor do sinalizador é definido como 2 e inicia a etapa de descriptografia lendo o conteúdo do arquivo "\ efi \ Microsoft \ Boot \ Counter".
"A descriptografia para quando o número de clusters descriptografados é igual ao valor do arquivo do contador", disse Smolár. "Durante o processo de descriptografia da MFT, o bootkit mostra o status atual do processo de descriptografia".
A fase de descriptografia também envolve o bootkit em recuperação dos legítimos bootloaders - "\ efi \ boot \ bootx64.efi" e "\ efi \ microsoft \ boot \ bootmgfw.efi" - dos backups criados anteriormente durante o processo de instalação. Quando esta etapa estiver concluída, a vítima é solicitada a reiniciar sua máquina Windows.
Vale a pena notar que as alterações do carregador de inicialização iniciadas pelo instalador durante a implantação do componente UEFI Bootkit desencadeiam um acidente do sistema (também conhecido como tela azul de morte ou BSOD) e garante que o binário do bootkit seja executado quando o dispositivo estiver ativado.
Select variants of HybridPetya, ESET added, have been found to exploit CVE‑2024‑7344 (CVSS score: 6.7), a remote code execution vulnerability in the Howyar Reloader UEFI application ("reloader.efi", renamed in the artifact as "\EFI\Microsoft\Boot\bootmgfw.efi") that could result in a Bypass de inicialização segura.
A variante também inclui um arquivo especialmente criado chamado "Cloak.dat", que é carregado através do Reloader.Efi e contém o Binário Xorleado Bootkit. Desde então, a Microsoft revogou o binário antigo e vulnerável como parte de sua atualização de terça -feira para a atualização de janeiro de 2025.
"Quando o binário recarregador.efi (implantado como bootmgfw.efi) é executado durante a inicialização, ele procura a presença do arquivo de capa.dat na partição do sistema EFI e carrega o aplicativo UEFI incorporado do arquivo de uma maneira muito insegura, a referida verificação de integridade.
Outro aspecto em que Hybridpetya e Notpetya diferem é que, diferentemente das capacidades destrutivas deste último, o artefato recém -identificado permite que os atores de ameaças reconstruam a chave de descriptografia das chaves de instalação pessoal da vítima.
Dados de telemetria do ESET indicam nenhuma evidência de hybridpetya sendo usado
A empresa eslovaca de segurança cibernética Eset disse que as amostras foram carregadas para a plataforma Virustototal em fevereiro de 2025.
"Hybridpetya criptografa a tabela de arquivos mestre, que contém metadados importantes sobre todos os arquivos nas partições formatadas por NTFS", disse o pesquisador de segurança Martin Smolár. "Ao contrário do Petya/Notpetya original, a Hybridpetya pode comprometer os sistemas modernos baseados em UEFI, instalando um aplicativo EFI malicioso na partição do sistema EFI".
Em outras palavras, o aplicativo UEFI implantado é o componente central que cuida da criptografia do arquivo MFT (Arquivo Mestre), que contém metadados relacionados a todos os arquivos na partição formatada por NTFS.
O HybridPetya vem com dois componentes principais: um bootkit e um instalador, com o primeiro aparecendo em duas versões distintas. O BootKit, que é implantado pelo instalador, é principalmente responsável por carregar sua configuração e verificar seu status de criptografia. Pode ter três valores diferentes -
0 - Pronto para criptografia
1 - já criptografado e
2 - Ransom pago, disco descriptografado
Se o valor for definido como 0, ele continuará definindo o sinalizador como 1 e criptografa o arquivo \ efi \ microsoft \ boot \ verify com o algoritmo de criptografia salsa20 usando a chave e o não -ce especificado na configuração. Ele também cria um arquivo chamado "\ efi \ Microsoft \ Boot \ Counter" na partição do sistema EFI antes de iniciar o processo de criptografia de disco de todas as partições formatadas por NTFS. O arquivo é usado para acompanhar os clusters de disco já criptografados.
Além disso, o BootKit atualiza a mensagem FALSE CHKDSK exibida na tela da vítima com informações sobre o status atual de criptografia, enquanto a vítima é enganada ao pensar que o sistema está reparando erros de disco.
Se o bootkit detectar que o disco já está criptografado (ou seja, o sinalizador está definido como 1), serve uma nota de resgate à vítima, exigindo que eles enviem US $ 1.000 em bitcoin para o endereço da carteira especificado (34unkksgzzvf5aybjkua2yyzw89zlwxu. A carteira está atualmente vazia, embora tenha recebido US $ 183,32 entre fevereiro e maio de 2025.
A tela Ransom Note também oferece uma opção para a vítima inserir a chave de engano comprada do operador depois de efetuar o pagamento, após o qual o bootkit verifica a chave e tenta descriptografar o arquivo "efi \ microsoft \ boot \ verify". Caso a tecla correta seja inserida, o valor do sinalizador é definido como 2 e inicia a etapa de descriptografia lendo o conteúdo do arquivo "\ efi \ Microsoft \ Boot \ Counter".
"A descriptografia para quando o número de clusters descriptografados é igual ao valor do arquivo do contador", disse Smolár. "Durante o processo de descriptografia da MFT, o bootkit mostra o status atual do processo de descriptografia".
A fase de descriptografia também envolve o bootkit em recuperação dos legítimos bootloaders - "\ efi \ boot \ bootx64.efi" e "\ efi \ microsoft \ boot \ bootmgfw.efi" - dos backups criados anteriormente durante o processo de instalação. Quando esta etapa estiver concluída, a vítima é solicitada a reiniciar sua máquina Windows.
Vale a pena notar que as alterações do carregador de inicialização iniciadas pelo instalador durante a implantação do componente UEFI Bootkit desencadeiam um acidente do sistema (também conhecido como tela azul de morte ou BSOD) e garante que o binário do bootkit seja executado quando o dispositivo estiver ativado.
Select variants of HybridPetya, ESET added, have been found to exploit CVE‑2024‑7344 (CVSS score: 6.7), a remote code execution vulnerability in the Howyar Reloader UEFI application ("reloader.efi", renamed in the artifact as "\EFI\Microsoft\Boot\bootmgfw.efi") that could result in a Bypass de inicialização segura.
A variante também inclui um arquivo especialmente criado chamado "Cloak.dat", que é carregado através do Reloader.Efi e contém o Binário Xorleado Bootkit. Desde então, a Microsoft revogou o binário antigo e vulnerável como parte de sua atualização de terça -feira para a atualização de janeiro de 2025.
"Quando o binário recarregador.efi (implantado como bootmgfw.efi) é executado durante a inicialização, ele procura a presença do arquivo de capa.dat na partição do sistema EFI e carrega o aplicativo UEFI incorporado do arquivo de uma maneira muito insegura, a referida verificação de integridade.
Outro aspecto em que Hybridpetya e Notpetya diferem é que, diferentemente das capacidades destrutivas deste último, o artefato recém -identificado permite que os atores de ameaças reconstruam a chave de descriptografia das chaves de instalação pessoal da vítima.
Dados de telemetria do ESET indicam nenhuma evidência de hybridpetya sendo usado
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #hybridpetya #ransomware #ignora #a #inicialização #segura #da #uefi #com #cve20247344 #exploit
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário