© 2025 cybersecurityinfocus

HybridPetya-Ransomware knackt Windows Secure Boot

September 16 11:12 am

Tags:

No tags
srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?quality=50&strip=all 3840w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/09/shutterstock_2591191835.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Die Ransomware HybridPetya nutzt eine bereits gepatchte Microsoft-Lücke, um die UEFI Secure Boot-Funktion auszuhebeln.

vectorfusionart – shutterstock.com

Forscher des Cybersicherheitsunternehmens ESET haben eine neue Ransomware namens HybridPetya aufgespürt, die der berüchtigten Petya- und NotPetya-Malware ähnelt. Wie ihre Vorgänger zielt die Schadsoftware auf die Master File Table (MFT) ab – eine zentrale Datenbank auf NTFS-Partitionen, die alle Dateien und Verzeichnisse katalogisiert.

Im Vergleich zu den früheren Varianten kann HybridPetya laut ESET jedoch die UEFI Secure Boot-Funktion aushebeln, um eine schädliche Anwendung auf der EFI-Systempartition zu installieren.

Zudem gibt es einen weiteren Unterschied: Während NotPetya „nur“ darauf aus ist, Daten zu zerstören, fungiert HybridPetya als echte Ransomware. Den Forschern zufolge erlaubt der enthaltene Algorithmus es Angreifern, den Entschlüsselungs-Key aus dem persönlichen Installationsschlüssel des Opfers zu rekonstruieren. So könnten Betroffene ihre Daten theoretisch nach Lösegeldzahlung zurückerhalten. Die von ESET analysierte Variante forderte 850 Euro in Bitcoin.

Die ESET-Forscher vermuten jedoch, dass es sich dabei um ein Forschungsprojekt, einen Proof-of-Concept (PoC) oder eine frühe Version eines Cybercrime-Tools handelt, das sich noch in der eingeschränkten Testphase befindet.

So funktioniert der Angriff

Um einzudringen, nutzt die Ransomware ESET zufolge eine bereits gepatchte Schwachstelle (CVE-2024-7344) in einer signierten Microsoft EFI-Datei (reloader.efi) aus. Daraufhin wird eine nicht signierte, bösartige Datei namens cloak.dat geladen. Auf diese Weise werden Integritätsprüfungen umgangen und das Schadprogramm kann mit den höchsten Rechten ausgeführt werden – noch bevor das Betriebssystem startet.

Der Installer ersetzt dabei den legitimen Windows-Bootloader durch die anfällige Version. Anschließend bringt die Malware das System absichtlich zum Absturz, wodurch ein Neustart erzwungen wird. Beim Hochfahren startet der kompromittierte Bootloader das HybridPetya-Bootkit und beginnt die MFT-Verschlüsselung.

Durch die Verschlüsselung mit dem Salsa20-Algorithmus wird die gesamte Festplatte unlesbar. Eine gefakte CHKDSK-Meldung soll die bösartige Aktivität verschleiern.

Obwohl die HybridPetya-Ransomware bisher noch nicht in freier Wildbahn beobachtet wurde, sollte sie als Warnung vor einer neuen Generation von Bootkit-basierten Bedrohungen angesehen werden.

 

Categories

Prev
Next

No Responses

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2025 cybersecurityinfocus. Built with ❤️ using WordPress and Ketos Theme.