In de wereld van ransomware en bootkits is het zelden rustig. Onlangs ontdekte ESET Research een malwarevariant die oplaait met eigenschappen van zowel Petya als NotPetya – en die ongemakkelijke nieuwe trucs kent, waaronder een UEFI Secure Boot-bypass. Ze noemen ‘m HybridPetya. Hier de belangrijkste bevindingen én wat organisaties kunnen doen om zich te wapenen.
Wat is HybridPetya precies?
- Petya / NotPetya-nabootser: De malware is duidelijk geïnspireerd op de beruchte Petya/NotPetya-varianten (2016-2017).
- Nieuwe techniek: UEFI-ondersteuning: In tegenstelling tot de klassieke versies kan HybridPetya moderne systemen met UEFI aan – door een kwaadaardige EFI-applicatie te installeren op de EFI System Partition.
- Gebruik van CVE-2024-7344: Een Secure Boot-bypasskwetsbaarheid op verouderde systemen wordt gebruikt — via een speciaal geprepareerde
cloak.dat-file.
Hoe werkt de aanval?
- Installer: De malware-installer controleert of een systeem UEFI gebruikt, zoekt de juiste EFI System Partition (ESP), en vervangt of modificeert bootloaders op die partitie.
- Bootkit: Een bootkit-component wordt geladen bij het opstarten. Die laadt configuratiegegevens, controleert of eerdere encryptie heeft plaatsgevonden, en voert dan de encryptie uit.
- Encryptie van Master File Table (MFT): Een cruciale stap – de MFT wordt versleuteld. Dat betekent dat de metadata van bestanden (niet de bestanden zelf in alle gevallen) ontoegankelijk wordt.
- Fake CHKDSK-bericht: Om te verhullen wat er gebeurt wordt een vals “CHKDSK analyseert schijf” bericht getoond, net zoals in de klassieke Petya/NotPetya-versies.
- Decryptie mogelijkheid: Anders dan NotPetya kan HybridPetya wel een decryptiesleutel reconstrueren, mits de gebruiker de juiste persoonlijke installatie-sleutel invoert.
Hoe gevaarlijk is dit?
- Hoewel er geen bewijs is dat HybridPetya op grote schaal in het wild wordt gebruikt (nog niet), is de technische capaciteit opvallend.
- De Secure Boot-bypass maakt dit vooral relevant voor organisaties met verouderde firmware of systemen waar de nieuwste beveiligingsupdates (zoals voor dbx) nog niet zijn geïnstalleerd.
Wat kun je doen om je te beschermen?
- Firmware & Secure Boot updates: Zorg dat je UEFI/BIOS/firmware up-to-date is. Installeer Microsoft’s dbx-updates (of gelijkwaardige revocatie van kwetsbare certificaten) om kwetsbaarheid tegen CVE-2024-7344 te mitigeren.
- Disk encryptie: door de SSD van de machine in kwestie te versleutelen met ESET FDE of bijvoorbeeld Bitlocker kun je voorkomen dat de MFT wordt versleuteld, dat is ‘ie namelijk al
- Beperk fysieke toegang tot ESP: Bevestig dat alleen geautoriseerde processen/gebruikers wijzigingen mogen aanbrengen op de EFI System Partition.
- Monitor op onverwacht opstartgedrag: Let op wijzigingen aan bootloaderbestanden of het verschijnen van onbekende EFI-applicaties in de ESP.
- Back-ups & herstelplannen: Omdat de MFT versleuteld kan worden, zijn goede, recente back-ups cruciaal. Test je herstelscenario’s op integriteit.
- Awareness & detectie: Gebruik tools die vreemd gedrag tijdens boot kunnen detecteren (onbekende EFI apps, manifestchanges, etc.). Zorg dat je incident response team klaar is om te handelen.
Conclusie
HybridPetya is op dit moment vooral technisch indrukwekkend, maar niet (voor zover bekend) massaal in gebruik. Wat ‘m echter gevaarlijk maakt is de combinatie van:
- UEFI-ondersteuning + ESP-infiltratie
- Secure Boot bypass via CVE-2024-7344
- De mogelijkheid voor decryptie (mits juiste sleutel), dus niet louter destructief
Voor RiskGuard-klanten geldt: deze dreiging benadrukt hoe belangrijk het is om niet alleen op applicatie-niveau te beveiligen, maar ook diep in de opstartketen. Secure Boot en firmware-updates zijn daarbij van belang.
Ook is het versleutelen van de schijf (met een wachtwoord wat je wel weet) in dit geval ook erg belangrijk.