کشف باج‌افزار جدید HybridPetya با قابلیت دور زدن Secure Boot

محققان امنیت سایبری گونه جدیدی از باج‌افزار را شناسایی کرده‌اند که با نام HybridPetya شناخته می‌شود. این بدافزار ترکیبی از ویژگی‌های باج‌افزارهای مشهور Petya/NotPetya است و با استفاده از یک آسیب‌پذیری در سیستم‌های UEFI قادر به دور زدن مکانیزم امنیتی Secure Boot می‌باشد.

جزییات فنی HybridPetya

به گفته شرکت امنیتی ای‌ست (ESET)، نمونه‌های اولیه این بدافزار در فوریه ۲۰۲۵ در سایت VirusTotal بارگذاری شده‌اند. HybridPetya با رمزگذاری Master File Table – MFT که شامل اطلاعات حیاتی فایل‌ها در پارتیشن‌های NTFS است، مانع دسترسی کاربر به داده‌های خود می‌شود.

برخلاف نسخه‌های پیشین Petya/NotPetya، این گونه جدید می‌تواند با نصب یک برنامه مخرب EFI روی پارتیشن سیستم UEFI، سیستم‌های مدرن را نیز آلوده کند. بوت‌کیت تعبیه‌شده در این بدافزار علاوه بر مدیریت فرآیند رمزگذاری، پیام جعلی CHKDSK را نیز روی صفحه نمایش قربانی نشان می‌دهد تا کاربر تصور کند سیستم عملیات به اصطلاح Maintenance را اجرا می‌کند.

درخواست باج و فرآیند رمزگشایی

در صورت رمزگذاری کامل، صفحه‌ای برای قربانی نمایش داده می‌شود که خواستار پرداخت ۱۰۰۰ دلار بیت‌کوین به کیف پول مشخص‌شده است. ادعا می‌شود پس از پرداخت، قربانی می‌تواند کلید دریافتی را وارد کرده و فایل‌ها را رمزگشایی کند. جالب آنکه برخلاف ماهیت مخرب NotPetya، باج‌افزار HybridPetya امکان بازیابی کلید رمزگشایی از روی کلید نصب کاربر را نیز فراهم می‌کند.

بهره‌برداری از آسیب‌پذیری CVE-2024-7344

نسخه‌های خاصی از HybridPetya از آسیب‌پذیری CVE-2024-7344 در برنامه Howyar Reloader UEFI سوءاستفاده می‌کنند. این حفره امنیتی باعث می‌شود Secure Boot به‌طور کامل دور زده شود. مایکروسافت در مجموعه اصلاحیه‌های ژانویه ۲۰۲۵ این مشکل را برطرف کرده است.

جایگاه HybridPetya در میان بوت‌کیت‌های UEFI

ای‌ست اعلام کرده است که HybridPetya چهارمین نمونه عمومی شناخته‌شده از یک بوت‌کیت UEFI با قابلیت دور زدن Secure Boot محسوب می‌شود. پیش‌تر نیز BlackLotus و BootKitty و همینطور Hyper-V Backdoor PoC چنین قابلیتی را نشان داده بودند.

جمع‌بندی

اگرچه تاکنون شواهدی مبنی بر استفاده گسترده HybridPetya در فضای واقعی مشاهده نشده، اما کشف این بدافزار نشان می‌دهد که حملات مبتنی بر دور زدن Secure Boot روزبه‌روز بیشتر می‌شوند. این روند هم زنگ خطری برای سازمان‌هاست و هم هشداری جدی برای به‌روزرسانی منظم سیستم‌ها و نصب وصله‌های امنیتی جدید.

اطلاعات بیشتر

گزارش ای‌ست، از طریق لینک زیر قابل‌مطالعه است:

https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *