VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại ransomware mới có tên HybridPetya có nhiều điểm tương đồng với phần mềm độc hại Petya / NotPetya khét tiếng, đồng thời tích hợp khả năng bỏ qua cơ chế Khởi động an toàn trong các hệ thống Giao diện chương trình cơ sở mở rộng hợp nhất (UEFI) bằng cách sử dụng lỗ hổng đã được vá được tiết lộ vào đầu năm nay.

Công ty an ninh mạng ESET của Slovakia cho biết các mẫu đã được tải lên nền tảng VirusTotal vào tháng 2 năm 2025.


"HybridPetya mã hóa Bảng Tệp Chính (Master File Table), chứa siêu dữ liệu quan trọng về tất cả các tệp trên phân vùng định dạng NTFS", nhà nghiên cứu bảo mật Martin Smolár cho biết. "Không giống như Petya/NotPetya ban đầu, HybridPetya có thể xâm nhập các hệ thống hiện đại dựa trên UEFI bằng cách cài đặt một ứng dụng EFI độc hại vào Phân vùng Hệ thống EFI."

Nói cách khác, ứng dụng UEFI được triển khai là thành phần trung tâm đảm nhiệm việc mã hóa tệp Master File Table (MFT), chứa siêu dữ liệu liên quan đến tất cả các tệp trên phân vùng được định dạng NTFS.

HybridPetya bao gồm hai thành phần chính: bootkit và trình cài đặt, trong đó bootkit xuất hiện dưới hai phiên bản riêng biệt. Bootkit, được triển khai bởi trình cài đặt, chủ yếu chịu trách nhiệm tải cấu hình và kiểm tra trạng thái mã hóa. Nó có thể có ba giá trị khác nhau -

    0 - sẵn sàng để mã hóa
    1 - đã được mã hóa và
    2 - tiền chuộc đã trả, ổ đĩa đã được giải mã

Nếu giá trị được đặt thành 0, nó sẽ tiếp tục đặt cờ thành 1 và mã hóa tệp \EFI\Microsoft\Boot\verify bằng thuật toán mã hóa Salsa20 sử dụng khóa và nonce được chỉ định trong cấu hình. Nó cũng tạo một tệp có tên "\EFI\Microsoft\Boot\counter" trên Phân vùng Hệ thống EFI trước khi khởi chạy quy trình mã hóa ổ đĩa của tất cả các phân vùng định dạng NTFS. Tệp này được sử dụng để theo dõi các cụm ổ đĩa đã được mã hóa.

Hơn nữa, bootkit sẽ cập nhật thông báo CHKDSK giả mạo hiển thị trên màn hình của nạn nhân bằng thông tin về trạng thái mã hóa hiện tại, trong khi nạn nhân bị lừa nghĩ rằng hệ thống đang sửa lỗi đĩa.

Nếu bootkit phát hiện ổ đĩa đã được mã hóa (tức là cờ được đặt thành 1), nó sẽ gửi một thông báo đòi tiền chuộc cho nạn nhân, yêu cầu họ gửi 1.000 đô la Bitcoin đến địa chỉ ví đã chỉ định ( 34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2 ). Hiện tại, ví đang trống, mặc dù đã nhận được 183,32 đô la từ tháng 2 đến tháng 5 năm 2025.

Màn hình ghi chú tiền chuộc cũng cung cấp tùy chọn cho nạn nhân nhập khóa lừa đảo đã mua từ kẻ tấn công sau khi thanh toán, sau đó bootkit sẽ xác minh khóa và cố gắng giải mã tệp "EFI\Microsoft\Boot\verify". Trong trường hợp nhập đúng khóa, giá trị cờ sẽ được đặt thành 2 và bắt đầu bước giải mã bằng cách đọc nội dung của tệp "\EFI\Microsoft\Boot\counter".

"Quá trình giải mã dừng lại khi số cụm được giải mã bằng với giá trị từ tệp bộ đếm", Smolár nói. "Trong quá trình giải mã MFT, bootkit sẽ hiển thị trạng thái hiện tại của quá trình giải mã."

Giai đoạn giải mã cũng bao gồm việc bootkit khôi phục các bộ nạp khởi động hợp lệ -- "\EFI\Boot\bootx64.efi" và "\EFI\Microsoft\Boot\bootmgfw.efi" -- từ các bản sao lưu đã tạo trước đó trong quá trình cài đặt. Sau khi hoàn tất bước này, nạn nhân sẽ được nhắc khởi động lại máy tính Windows.


Điều đáng chú ý là những thay đổi của bộ nạp khởi động do trình cài đặt khởi tạo trong quá trình triển khai thành phần bootkit UEFI sẽ kích hoạt sự cố hệ thống (hay còn gọi là Màn hình xanh chết chóc hoặc BSoD) và đảm bảo rằng tệp nhị phân bootkit được thực thi sau khi thiết bị được bật.

ESET cho biết thêm, một số biến thể của HybridPetya đã được phát hiện có khả năng khai thác CVE‑2024‑7344 (điểm CVSS: 6,7), một lỗ hổng thực thi mã từ xa trong ứng dụng Howyar Reloader UEFI ("reloader.efi", được đổi tên trong hiện vật thành "\EFI\Microsoft\Boot\bootmgfw.efi") có thể dẫn đến việc bỏ qua Secure Boot.

Biến thể này cũng chứa một tệp được thiết kế đặc biệt có tên "cloak.dat", có thể tải thông qua reloader.efi và chứa tệp nhị phân bootkit XORed. Microsoft đã thu hồi tệp nhị phân cũ, dễ bị tấn công này như một phần của bản cập nhật Patch Tuesday cho tháng 1 năm 2025.

ESET cho biết: "Khi tệp nhị phân reloader.efi (được triển khai dưới dạng bootmgfw.efi) được thực thi trong quá trình khởi động, nó sẽ tìm kiếm sự hiện diện của tệp cloak.dat trên Phân vùng hệ thống EFI và tải ứng dụng UEFI nhúng từ tệp theo cách rất không an toàn, hoàn toàn bỏ qua mọi kiểm tra tính toàn vẹn, do đó bỏ qua UEFI Secure Boot".

Một khía cạnh khác biệt giữa HybridPetya và NotPetya là, không giống như khả năng phá hoại của NotPetya, hiện vật mới được xác định cho phép kẻ tấn công tái tạo khóa giải mã từ khóa cài đặt cá nhân của nạn nhân.

Dữ liệu đo từ xa từ ESET cho thấy không có bằng chứng nào cho thấy HybridPetya đang được sử dụng ngoài thực tế. Công ty an ninh mạng này cũng chỉ ra việc phát hiện gần đây một Bằng chứng Khái niệm (PoC) UEFI Petya của nhà nghiên cứu bảo mật Aleksandra "Hasherezade" Doniec, đồng thời cho biết thêm rằng có thể có "một số mối liên hệ giữa hai trường hợp". Tuy nhiên, không loại trừ khả năng HybridPetya cũng có thể là một PoC.

ESET cho biết: "HybridPetya hiện là ví dụ công khai thứ tư về bộ khởi động UEFI thực tế hoặc bằng chứng khái niệm có chức năng bỏ qua UEFI Secure Boot, cùng với BlackLotus (khai thác CVE‑2022‑21894), BootKitty (khai thác LogoFail) và Hyper-V Backdoor PoC (khai thác CVE‑2020‑26200)".

"Điều này cho thấy việc bỏ qua Secure Boot không chỉ khả thi mà còn trở nên phổ biến và hấp dẫn hơn đối với cả các nhà nghiên cứu và kẻ tấn công."