HybridPetya: novo ransomware que ataca antes da inicialização

Entenda como o ransomware consegue burlar a inicialização do Windows

O HybridPetya é um novo ransomware que explora vulnerabilidades da inicialização segura do Windows.

Um novo tipo de ransomware nasceu: é o HybridPetya, capaz de explorar uma vulnerabilidade na Interface Unificada do Firmware Extensível (UEFI), a famosa Inicialização Segura do Windows. É o quarto bootkit capaz de burlar as defesas do sistema operacional da Microsoft, tomando controle do PC antes mesmo de ligar completamente — algo que, há alguns anos, era lenda urbana.

O que é ransomware?

O HybridPetya, nome inspirado em seus predecessores Petya e NotPetya, foi descoberto por pesquisadores da ESET, que notaram amostras do bootkit em fevereiro no repositório de códigos hackers VirusTotal. Embora seja uma prova de conceito e ainda não tenha sido visto em ação, a descoberta levanta preocupações sobre seu potencial de dano, semelhante ao NotPetya, que em 2017 causou prejuízos de mais de R$ 50 bilhões pelo mundo.

Como ele funciona

O HybridPetya é projetado para travar a Master File Table (MFT) com criptografia, utilizando o algoritmo Salsa20. O malware se instala por meio de um aplicativo EFI malicioso, fingindo que o disco rígido está sendo verificado, enquanto encripta os arquivos. Ao final do processo, uma mensagem solicita o pagamento de US$ 1.000 (cerca de R$ 5.400) em Bitcoins para liberar o desencriptador de arquivos.

Preocupações com a segurança

Apesar do vírus não estar ativo na natureza, especialistas alertam para a necessidade de monitoramento. A vulnerabilidade UEFI explorada, a CVE-2024-7344, já foi corrigida pela Microsoft em atualizações recentes. Contudo, outros malwares com capacidades similares foram documentados, como o BlackLotus, BootKitty e Hyper-V Backdoor PoC. O cenário ressalta a importância de manter sistemas sempre atualizados e monitorados para evitar novas ameaças.