Selon ESET Research, HybridPetya a été découvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe précise qu’il s’agit d’un imitateur de Petya/NotPetya, sans détection d’activité in-the-wild dans leur télémétrie au moment de la publication.
-
HybridPetya se distingue de NotPetya/Petya en visant les systèmes modernes basés sur UEFI, où il installe une application EFI malveillante dans la partition système EFI (ESP). 💽
-
L’application UEFI déployée prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les métadonnées de tous les fichiers d’une partition NTFS. ❗
-
Le malware arme la vulnérabilité CVE‑2024‑7344 pour contourner UEFI Secure Boot sur des systèmes non à jour, renforçant sa capacité de persistance et d’impact. 🔓
-
ESET indique ne pas observer d’usage actif de HybridPetya dans la nature via sa télémétrie au moment de l’analyse, et le qualifie de copycat reprenant les principes de Petya/NotPetya avec une extension vers la couche UEFI.
IOCs et TTPs:
- IOCs: aucun indicateur technique (hash, domaine, IP) n’est mentionné dans l’extrait.
- TTPs:
- Installation d’une application EFI malveillante sur l’ESP.
- Chiffrement de la MFT NTFS.
- Exploitation de CVE‑2024‑7344 pour bypasser UEFI Secure Boot sur systèmes obsolètes.
- Diffusion initiale repérée via VirusTotal (source de l’échantillon).
Il s’agit d’une publication de recherche visant à documenter les capacités et la nouveauté technique d’un malware imitant NotPetya, avec un focus sur la compromission UEFI et le contournement de Secure Boot.
🔗 Source originale : https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/