Por Mid 
HybridPetya: Ransomware que elude UEFI Secure Boot y representa una amenaza para sistemas Windows
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- HybridPetya, una variante avanzada de Petya y NotPetya, compromete la partición EFI, eludiendo UEFI Secure Boot.
- Exploita la vulnerabilidad CVE-2024-7344, permitiendo la instalación de bootkits incluso con Secure Boot habilitado.
- Su secuencia de infección puede causar pantallas azules y cifrar datos críticos, dificultando la recuperación sin la clave de rescate.
- Requiere medidas proactivas, como la aplicación de parches de seguridad y auditorías en la partición EFI.
- Aunque no hay incidentes activos reportados, se recomienda mantener la vigilancia ante futuras campañas maliciosas.
Índice
Introducción
HybridPetya se perfila como la versión avanzada de Petya y NotPetya, demostrando que la tecnología Secure Boot también puede ser vulnerada. Este ransomware emplea métodos de cifrado y técnicas de infección sofisticadas, aprovechando la vulnerabilidad CVE-2024-7344 para infiltrarse en sistemas Windows desde el proceso de arranque. Se trata de una nueva variación de ransomware que lleva la amenaza a un nuevo nivel, ya que compromete la partición EFI y sortea las defensas de UEFI Secure Boot en entornos Windows.
Sophisticación del Ataque
Recientemente identificado por investigadores de ESET, HybridPetya toma como referencia a los infames Petya y NotPetya, responsables de graves incidentes cibernéticos en 2016 y 2017. Sin embargo, esta variante añade elementos preocupantes como la explotación de la vulnerabilidad CVE-2024-7344, evidenciando la sofisticación creciente de las amenazas que pueden afectar la cadena de arranque.
Este ransomware destaca por su capacidad para infectar sistemas UEFI con particiones GPT, donde integra un bootkit perjudicial directamente en la partición del sistema EFI. Utiliza archivos como config, verify y un bootloader alterado, además de incorporar un componente de cifrado basado en Salsa20. Su principal vector de ataque es el abuso de CVE-2024-7344, un fallo previamente corregido que facilitó la instalación de bootkits, incluso con Secure Boot habilitado, al reemplazar archivos críticos como bootmgfw.efi con versiones maliciosas y eliminar los componentes de arranque originales.
Secuencia de Infección
La secuencia de infección simula errores a través de BSOD (pantallas azules de la muerte) y reinicia el sistema para activar el bootkit, proceso que lleva al cifrado de datos esenciales y la posterior exigencia de un rescate. El riesgo más grave asociado con HybridPetya es su capacidad para eludir UEFI Secure Boot, lo cual sugiere que las medidas de arranque seguro se ven comprometidas si el sistema operativo no se encuentra debidamente actualizado.
HybridPetya puede paralizar por completo el arranque de Windows y obstaculizar la restauración del sistema sin la clave de rescate, aumentando significativamente el daño potencial. Aunque todavía no se han registrado casos activos, la aparición de este malware como prueba de concepto sugiere la posibilidad de futuras campañas dirigidas a máquinas vulnerables.
Medidas de Seguridad Recomendadas
Se recomienda encarecidamente aplicar de manera inmediata los parches de seguridad de enero de 2025 de Microsoft que abordan CVE-2024-7344, mantener copias de seguridad offline de datos valiosos y habilitar la autenticación de doble factor en plataformas críticas. Realizar auditorías periódicas de integridad en la partición EFI y restringir permisos innecesarios de arranque son medidas fundamentales. La revisión de los indicadores de compromiso proporcionados por ESET puede ser útil para la detección anticipada de esta amenaza.
Referencias
- ESET – Investigaciones sobre HybridPetya
- Microsoft – Parches de seguridad de enero de 2025
- CVE – Vulnerabilidad CVE-2024-7344