ESET Research heeft een nieuwe ransomwarevariant ontdekt die de naam HybridPetya heeft gekregen. De malware verwijst naar de beruchte Petya- en NotPetya-aanvallen uit 2017, maar onderscheidt zich doordat ze ook moderne UEFI-gebaseerde systemen kan compromitteren.
De eerste monsters van HybridPetya werden in februari 2025 geüpload naar VirusTotal. Volgens ESET-onderzoeker Martin Smolár ging het in juli om bestanden met namen als notpetyanew.exe, wat direct wees op een link met de destructieve aanval van acht jaar geleden. NotPetya veroorzaakte destijds wereldwijd miljarden dollars aan schade en wordt nog steeds gezien als een van de meest ontwrichtende cyberaanvallen ooit.
Net als de oorspronkelijke Petya versleutelt HybridPetya de Master File Table (MFT) van NTFS-geformatteerde systemen, waardoor bestanden onbereikbaar worden. Anders dan NotPetya kan de nieuwe variant wel als traditionele ransomware worden ingezet, omdat de aanvaller in dit geval de decoderingssleutel kan reconstrueren.
Een belangrijk verschil is dat HybridPetya zich richt op moderne UEFI-systemen. De malware installeert een kwaadaardige EFI-applicatie op de systeempartitie, die vervolgens de MFT versleutelt. Tijdens het onderzoek trof ESET op VirusTotal zelfs een archief aan met de volledige inhoud van een EFI-systeempartitie, inclusief een dergelijke applicatie.
Daarnaast blijkt een van de varianten misbruik te maken van CVE-2024-7344, een kwetsbaarheid in de implementatie van UEFI Secure Boot. Via een speciaal opgemaakt cloak.dat-bestand kan de beveiliging op verouderde systemen worden omzeild. ESET had begin 2025 al melding gemaakt van deze kwetsbaarheid, maar zonder technische details. Volgens de onderzoekers is de exploit waarschijnlijk zelfstandig gereconstrueerd door middel van reverse engineering.
Vooralsnog zijn er geen aanwijzingen dat HybridPetya actief wordt ingezet in aanvallen. ESET benadrukt dat het mogelijk om een proof-of-concept gaat, ontwikkeld door een onderzoeker of een onbekende dreigingsactor. Ook vertoont de malware geen eigenschappen van grootschalige netwerkverspreiding zoals destijds bij NotPetya.
