Novo ransomware HybridPetya representa uma ameaça emergente para sistemas modernos
Pesquisadores da ESET Research identificaram um novo malware intitulado HybridPetya, um ransomware que remete ao devastador Petya/NotPetya, responsável por perdas superiores a 10 bilhões de dólares em 2017. O diferencial desta variante é sua capacidade de comprometer sistemas UEFI modernos, utilizando vulnerabilidades para contornar o Secure Boot, uma defesa essencial no arranque seguro dos computadores atuais.
Os primeiros indícios do HybridPetya surgiram em Fevereiro de 2025, no serviço VirusTotal, com arquivos enviados da Polônia. Martin Smolár, pesquisador da ESET, relata que os arquivos, com nomes como notpetyanew.exe, apresentam semelhanças tanto com o Petya original quanto com o NotPetya. Contudo, nesta nova versão, há a possibilidade de descriptografar os arquivos a pedido do atacante, contrastando com o NotPetya, que operava como um wiper, eliminando qualquer chance de recuperação.
O malware cifra a Master File Table (MFT) dos sistemas de arquivos NTFS, impossibilitando o acesso a dados críticos e travando completamente o sistema operacional. A capacidade do HybridPetya de instalar um bootkit malicioso em partições EFI é um dos fatores que o torna especialmente ameaçador. Esta funcionalidade permite que o ransomware execute a criptografia antes do carregamento do sistema operacional, desativando os mecanismos de segurança do Windows e dificultando a recuperação do sistema.
Uma das amostras analisadas continha um arquivo cloak.dat manipulado, explorando a vulnerabilidade CVE-2024-7344, um problema no Secure Boot revelado no início de 2025. Essa exploração permite que o HybridPetya contorne o arranque seguro em sistemas desatualizados, abrindo espaço para ataques em equipamentos modernos que deveriam estar protegidos.
Atualmente, a ESET não identificou campanhas ativas de HybridPetya, sugerindo que possa ser um “proof of concept” desenvolvido por pesquisadores ou cibercriminosos em fase de teste. Ao contrário do NotPetya, esta nova variante ainda não demonstrou mecanismos de propagação em rede, limitando seu alcance. No entanto, a inclusão de técnicas avançadas contra UEFI e Secure Boot indica um potencial para um futuro ataque mais sofisticado.
As implicações do surgimento do HybridPetya ressaltam várias questões críticas na cibersegurança atual. A evolução do ransomware, almejando componentes de arranque e firmware, evidencia um aumento na dificuldade de detecção e mitigação. Além disso, sistemas que não aplicaram as atualizações para a CVE-2024-7344 permanecem em risco imediato. Embora ainda não tenha sido observado em campanhas em larga escala, o HybridPetya pode ser utilizado em operações cirúrgicas contra infraestrutura crítica e entidades governamentais.
Para se proteger contra o HybridPetya, é crucial aplicar atualizações de segurança relacionadas a vulnerabilidades UEFI, manter backups offline e reforçar políticas de segurança no arranque.
