Ransomware, před kterým selhává Secure Boot
V současné době vzbuzuje pozornost v oblasti IT bezpečnosti nedávno objevený škodlivý program s názvem HybridPetya. Tento ransomware kombinuje vlastnosti známých variant Petya a NotPetya a dokáže obejít bezpečnostní funkci UEFI Secure Boot.
Tato schopnost mu umožňuje přístup do systému, kde instaluje škodlivý kód přímo do zaváděcího oddílu EFI. Důsledek: postižené počítače nelze spustit a pevný disk zůstane uzamčen, dokud nebude zaplaceno výkupné.
Mohlo by vás zajímat
Oběti jsou nuceny zaplatit
Bezpečnostní experti z Esetu poprvé identifikovali malware na platformě VirusTotal. První vyšetřování odhalilo, že HybridPetya šifruje Master File Table (MFT), která obsahuje centrální metadata na oddílech formátovaných NTFS. Tím je znemožněn přístup ke všem souborům v systému.
Po zašifrování se zobrazí požadavek na výkupné: postižení mají zaslat přibližně 1000 dolarů (přibližně 24 000 korun) v bitcoinech na určenou peněženku a navíc prostřednictvím ProtonMailu zaslat instalační klíč. Jen při splnění těchto podmínek obdrží dešifrovací kód.
Zvláště nebezpečná je schopnost napadat systémy, založené na UEFI. HybridPetya zkontroluje, zda infikovaný datový nosič pracuje s rozdělením GPT, aby poté obešel bezpečnostní mechanismy a uložil škodlivé soubory do spouštěcí oblasti. Tento postup viru umožňuje proniknout do systému hlouběji, než kam se dostanou běžné útoky.
Zdroj: Grok (vytvořeno pomocí umělé inteligence)
Zranitelnost už byla pravděpodobně řešena v lednu 2025
Ačkoli dosud nebyly zaznamenány žádné potvrzené útoky v reálném prostředí, nalezené vzorky naznačují probíhající proof-of-concept nebo existenci testovací verze. Eset zdůrazňuje, že zranitelnost, kterou HybridPetya využívá (katalogizována pod číslem CVE-2024-7344), byla opravena již v lednu 2025 v aktualizaci Windows. Pravidelně záplatované systémy jsou tedy lépe chráněny. Zatím se neví, zda HybridPetya napadá i systémy macOS nebo Linux.
Odborníci odhalili paralely s rozsáhlými útoky NotPetya z roku 2017, které způsobily po celém světě rozsáhlé škody v řádu miliard.
Na rozdíl od viru NotPetya, který byl zaměřen hlavně na ničení, HybridPetya teoreticky nabízí možnost obnovit zašifrovaná data. Je to však pouze za předpokladu, že oběť získá požadovaný klíč. I tak tento škodlivý software představuje značné nebezpečí, a to zejména proto, že dokáže překonat moderní ochranné mechanismy.
Mohlo by vás zajímat
Reálná hrozba: na co byste si měli dávat pozor
Zatím neexistují žádné náznaky toho, že by se HybridPetya již aktivně šířil. Jeho detekce však dokazuje, že útoky cílící na firmware už dávno nepředstavují pouze teoretické riziko, ale stále více vzbuzují zájem zločinců.
Proto důsledně aktualizujte své systémy a zajistěte, aby byl váš Secure Boot a všechny relevantní updaty na nejnovější verzi.
Zdroj: Welivesecurity
video
6 foto
