ESET ha scoperto HybridPetya, il ransomware caricato dalla Polonia sulla piattaforma di scansione malware VirusTotal, che compromette i sistemi basati su UEFI installando un’applicazione EFI malevola. Il campione è un’imitazione del famigerato Petya/NotPetya. Tuttavia, aggiunge la capacità di compromettere i sistemi basati su UEFI e di sfruttare la vulnerabilità CVE-2024-7344 per bypassare il Secure Boot UEFI sui sistemi non aggiornati.
Il perché della denominazione ‘HybridPetya’
Martin Smolár, ricercatore ESET che ha effettuato la scoperta
Alla fine di luglio 2025 abbiamo individuato campioni sospetti di ransomware con diversi nomi file, tra cui notpetyanew.exe e altri simili. Nomi che suggerivano un legame con il malware estremamente distruttivo che colpì l’Ucraina e numerosi altri Paesi nel 2017. L’attacco NotPetya è ritenuto il più distruttivo della storia, con danni complessivi superiori ai 10 miliardi di dollari. Per via delle caratteristiche comuni tra i nuovi campioni e sia Petya che NotPetya, abbiamo deciso di chiamare questo nuovo malware HybridPetya.
Come agisce quando viene installato
L’algoritmo utilizzato per generare la chiave di installazione personale della vittima, a differenza dell’originale NotPetya, consente all’operatore del malware di ricostruire la chiave di decrittazionea partire dalle chiavi personali delle vittime. In questo modo, HybridPetya rimane utilizzabile come ransomware tradizionale, più simile a Petya. Inoltre, HybridPetya è anche in grado di compromettere i moderni sistemi basati su UEFI installando un’applicazione EFI malevola sulla EFI System Partition. L’applicazione UEFI distribuita è quindi responsabile della cifratura della Master File Table (MFT).
Cosa hanno scoperto gli esperti ESET su HybridPetya
Martin Smolár
Approfondendo l’analisi, abbiamo scoperto su VirusTotal qualcosa di ancora più interessante. Ovvero un archivio contenente l’intero contenuto della EFI System Partition, compresa un’applicazione UEFI HybridPetya molto simile. Ma questa volta integrata in un file cloak.dat appositamente formattato, vulnerabile alla CVE-2024-7344, la falla di bypass del Secure Boot UEFI che il nostro team ha reso nota a inizio 2025. Nelle pubblicazioni ESET di gennaio 2025 avevamo volutamente evitato di fornire i dettagli relativi allo sfruttamento. Quindi è probabile che l’autore del malware abbia ricostruito il formato corretto del file cloak.dat attraverso attività di reverse engineering dell’applicazione vulnerabile.
Telemetria ESET
La telemetria ESET non mostra ancora alcun utilizzo attivo di HybridPetya nel mondo reale. Potrebbe dunque trattarsi di un proof of concept sviluppato da un ricercatore di sicurezza o da un attore sconosciuto. Inoltre, questo malware non presenta le funzionalità di propagazione aggressiva in rete tipiche del NotPetya originale.
