Source: https://thehackernews.com/2025/09/new-hybridpetya-ransomware-bypasses.html
🛡 概要
新たに発見されたHybridPetyaランサムウェアは、悪名高いPetyaやNotPetyaに似た特性を持ち、UEFIシステムのセキュアブートを回避する能力を備えています。この新しい脅威は、2024年に公開された脆弱性CVE-2024-7344を悪用し、セキュアブートを無効化することが可能です。スロバキアのサイバーセキュリティ企業ESETによると、2025年2月にVirusTotalプラットフォームにアップロードされたサンプルが確認されています。HybridPetyaは、NTFSパーティション上のマスターファイルテーブル(MFT)を暗号化し、現代のUEFIベースのシステムに対しても脅威を与えることができます。
🔍 技術詳細
HybridPetyaは、主にブートキットとインストーラーの2つのコンポーネントで構成されています。ブートキットは、インストーラーによって展開され、設定の読み込みや暗号化状態のチェックを行います。暗号化状態は、0(暗号化準備完了)、1(既に暗号化済み)、2(身代金支払い済み・ディスク復号化済み)の3つの値で管理されます。特に、HybridPetyaは、CVE-2024-7344(CVSS: 6.7)を利用し、Howyar Reloader UEFIアプリケーションを介してセキュアブートを回避します。このアプリケーションは、ブートプロセス中にcloak.datファイルを探し、セキュリティチェックを無視して埋め込まれたUEFIアプリケーションをロードします。
⚠ 影響
HybridPetyaの影響は深刻で、感染したシステムのNTFSパーティション上のデータが暗号化され、復号化には身代金の支払いが必要になります。さらに、HybridPetyaは、NotPetyaとは異なり、攻撃者が被害者の個人インストールキーから復号化キーを再構築できる点が特徴です。ESETの調査によると、現在のところ実際の攻撃においてHybridPetyaが使用された証拠はありませんが、UEFIセキュアブートの回避が一般化していることは警戒すべき点です。
🛠 対策
HybridPetyaの脅威に対抗するためには、UEFIファームウェアとオペレーティングシステムの定期的なアップデートが不可欠です。また、セキュアブートの設定を確認し、未承認のアプリケーションがロードされないようにすることが重要です。さらには、信頼できるセキュリティソフトウェアの導入と、バックアップの実施が推奨されます。万が一感染した場合は、専門のセキュリティチームによる迅速な対応が求められ、身代金の支払いは避けるべきです。
