Mã độc tống tiền HybridPetya mới khả năng bypass UEFI Secure Boot

Các nhà nghiên cứu đã tìm thấy một mẫu HybridPetya được tải trên VirusTotal vào tháng 02/2025, cho rằng mã độc tống tiền này kết hợp các đặc điểm của Petya và NotPetya. Tuy nhiên, nhà phát triển đã thêm những tính năng mới như cài đặt vào phân vùng hệ thống EFI và khả năng bypass Secure Boot bằng cách khai thác lỗ hổng CVE-2024-7344.

ESET phát hiện ra lỗ hổng này vào tháng 01/2025. Vấn đề nằm ở các ứng dụng được Microsoft ký có thể bị khai thác để triển khai bootkit ngay cả khi tính năng bảo vệ Secure Boot đang hoạt động.

Khi khởi chạy, HybridPetya xác định xem máy chủ có sử dụng UEFI với phân vùng GPT hay không, sau đó nhúng bootkit độc hại vào phân vùng hệ thống EFI. Chúng bao gồm các tệp cấu hình và xác thực, bootloader đã sửa đổi, bootloader UEFI dự phòng, payload container và tệp trạng thái theo dõi tiến trình mã hóa.

ESET liệt kê các tệp sau đây được sử dụng trên các biến thể HybridPetya đã phân tích:

1. \EFI\Microsoft\Boot\config (cờ mã hóa + khóa + giá trị nonce + ID nạn nhân).
2. \EFI\Microsoft\Boot\verify (xác thực khóa giải mã).
3. \EFI\Microsoft\Boot\counter (trình theo dõi tiến trình cho các cụm được mã hóa).
4. \EFI\Microsoft\Boot\bootmgfw[.]efi[.]old (bản sao lưu của bootloader gốc).
5. \EFI\Microsoft\Boot\cloak[.]dat (có chứa bootkit XORed trong biến thể bypass Secure Boot).
  Ngoài ra, phần mềm độc hại này còn thay thế \EFI\Microsoft\Boot\bootmgfw[.]efi bằng reloader[.]efi dễ bị tấn công và xóa \EFI\Boot\bootx64[.]efi.

Bootloader Windows gốc cũng được lưu lại để kích hoạt trong trường hợp khôi phục thành công, nghĩa là nạn nhân đã trả tiền chuộc. Sau khi triển khai, HybridPetya kích hoạt BSOD hiển thị lỗi giả mạo, giống như Petya và cho phép bootkit độc hại thực thi khi hệ thống khởi động.

Ở bước này, mã độc tống tiền mã hóa tất cả các cụm MFT bằng khóa Salsa20 và giá trị nonce được trích xuất từ ​​tệp cấu hình, trong khi hiển thị thông báo CHKDSK giả mạo, giống như NotPetya. Sau khi quá trình mã hóa hoàn tất, một tiến trình khởi động lại hệ thống khác sẽ được kích hoạt và nạn nhân nhận được thông báo đòi tiền chuộc trong quá trình này, yêu cầu thanh toán bằng Bitcoin số tiền 1.000 USD. Đổi lại, nạn nhân được cung cấp một khóa gồm 32 ký tự để nhập vào màn hình ghi chú tiền chuộc, khóa này sẽ khôi phục bootloader ban đầu, giải mã các cụm và nhắc nhở người dùng khởi động lại hệ thống.

Microsoft đã vá lỗ hổng CVE-2024-7344 thông qua bản vá Patch Tuesday tháng 01/2025, do đó các hệ thống Windows đã áp dụng bản cập nhật bảo mật này hoặc các bản cập nhật sau đó sẽ được bảo vệ trước mối đe dọa HybridPetya. Một biện pháp hữu hiệu khác để chống lại mã độc tống tiền là sao lưu ngoại tuyến các dữ liệu quan trọng nhất của bạn, cho phép khôi phục hệ thống dễ dàng và miễn phí.