{"id":4874,"date":"2025-09-16T11:12:32","date_gmt":"2025-09-16T11:12:32","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4874"},"modified":"2025-09-16T11:12:32","modified_gmt":"2025-09-16T11:12:32","slug":"hybridpetya-ransomware-knackt-windows-secure-boot","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4874","title":{"rendered":"HybridPetya-Ransomware knackt Windows Secure Boot"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\"> srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?quality=50&amp;strip=all 3840w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;auto, (max-width: 1024px) 100vw, 1024px&#8221;&gt;Die Ransomware HybridPetya nutzt eine bereits gepatchte Microsoft-L\u00fccke, um die UEFI Secure Boot-Funktion auszuhebeln.\n<p class=\"imageCredit\">vectorfusionart \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Forscher des Cybersicherheitsunternehmens <a href=\"https:\/\/www.eset.com\/us\/about\/newsroom\/research\/eset-research-discovers-hybridpetya-ransomware-secure-boot-bypass\/?srsltid=AfmBOool6y0JbnONeYDQ9SUkVWYz7O0S8XVH29U-cmgsoATnZ5XzFkk7\" target=\"_blank\" rel=\"noopener\">ESET haben eine neue Ransomware namens HybridPetya<\/a> aufgesp\u00fcrt, die der ber\u00fcchtigten Petya- und NotPetya-Malware \u00e4hnelt. Wie ihre Vorg\u00e4nger zielt die Schadsoftware auf die Master File Table (MFT) ab \u2013 eine zentrale Datenbank auf NTFS-Partitionen, die alle Dateien und Verzeichnisse katalogisiert.<\/p>\n<p>Im Vergleich zu den fr\u00fcheren Varianten kann HybridPetya laut ESET jedoch die UEFI Secure Boot-Funktion aushebeln, um eine sch\u00e4dliche Anwendung auf der EFI-Systempartition zu installieren.<\/p>\n<p>Zudem gibt es einen weiteren Unterschied: W\u00e4hrend NotPetya \u201enur\u201c darauf aus ist, Daten zu zerst\u00f6ren, fungiert HybridPetya als echte Ransomware. Den Forschern zufolge erlaubt der enthaltene Algorithmus es Angreifern, den Entschl\u00fcsselungs-Key aus dem pers\u00f6nlichen Installationsschl\u00fcssel des Opfers zu rekonstruieren. So k\u00f6nnten Betroffene ihre Daten theoretisch nach L\u00f6segeldzahlung zur\u00fcckerhalten. Die von ESET analysierte Variante forderte 850 Euro in Bitcoin.<\/p>\n<p>Die ESET-Forscher vermuten jedoch, dass es sich dabei um ein Forschungsprojekt, einen Proof-of-Concept (PoC) oder eine fr\u00fche Version eines Cybercrime-Tools handelt, das sich noch in der eingeschr\u00e4nkten Testphase befindet.<\/p>\n<h2 class=\"wp-block-heading\"><strong>So funktioniert der Angriff<\/strong><\/h2>\n<p>Um einzudringen, nutzt die <a href=\"https:\/\/www.csoonline.com\/article\/4019530\/ransomware-was-ist-das.html\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a> ESET zufolge eine bereits gepatchte Schwachstelle (CVE-2024-7344) in einer signierten Microsoft EFI-Datei (reloader.efi) aus. Daraufhin wird eine nicht signierte, b\u00f6sartige Datei namens cloak.dat geladen. Auf diese Weise werden Integrit\u00e4tspr\u00fcfungen umgangen und das Schadprogramm kann mit den h\u00f6chsten Rechten ausgef\u00fchrt werden \u2013 noch bevor das Betriebssystem startet.<\/p>\n<p>Der Installer ersetzt dabei den legitimen Windows-Bootloader durch die anf\u00e4llige Version. Anschlie\u00dfend bringt die Malware das System absichtlich zum Absturz, wodurch ein Neustart erzwungen wird. Beim Hochfahren startet der kompromittierte Bootloader das HybridPetya-Bootkit und beginnt die MFT-Verschl\u00fcsselung.<\/p>\n<p>Durch die Verschl\u00fcsselung mit dem <a href=\"https:\/\/en.wikipedia.org\/wiki\/Salsa20\">Salsa20-Algorithmus<\/a> wird die gesamte Festplatte unlesbar. Eine gefakte CHKDSK-Meldung soll die b\u00f6sartige Aktivit\u00e4t verschleiern.<\/p>\n<p>Obwohl die HybridPetya-Ransomware bisher noch nicht in freier Wildbahn beobachtet wurde, sollte sie als Warnung vor einer neuen Generation von Bootkit-basierten Bedrohungen angesehen werden.<\/p>\n<p><a><\/a><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?quality=50&amp;strip=all 3840w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/09\/shutterstock_2591191835.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;auto, (max-width: 1024px) 100vw, 1024px&#8221;&gt;Die Ransomware HybridPetya nutzt eine bereits gepatchte Microsoft-L\u00fccke, um die UEFI Secure Boot-Funktion auszuhebeln. vectorfusionart \u2013 shutterstock.com Forscher des Cybersicherheitsunternehmens ESET haben eine neue Ransomware namens HybridPetya [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":4867,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4874","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4874"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4874"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4874\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4867"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4874"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4874"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}