El ransomware HybridPetya elude el arranque seguro UEFI para cifrar maliciosamente los discos duros

Una nueva pieza de ransomeware, y puede eludir una de las mejores medidas de seguridad contra el cifrado malicioso de discos.

HybridPetya es un virus descubierto recientemente por la empresa de ciberseguridad ESET. El malware puede eludir el arranque seguro UEFI, una utilidad de Windows que comprueba los certificados del software que intenta arrancar en una unidad de almacenamiento cuando se enciende un PC. Esta comprobación de seguridad, en teoría, impide el arranque de código malicioso o software no oficial.

Sin embargo, HybridPetya puede detectar cuando una unidad infectada utiliza UEFI con particionado GPT y puede eludir Secure Boot. Una vez que elude Secure Boot, el malware añade, elimina o altera los archivos de arranque en la unidad de partición de arranque para bloquear y cifrar el resto de los datos de la unidad.

Una vez activado, HybridPetya presentará al usuario un mensaje indicando que todos sus archivos están cifrados. La nota de rescate también incluye instrucciones para enviar Bitcoin por valor de 1.000 dólares a un monedero. También se pide al usuario infectado que envíe su monedero Bitcoin y una clave de instalación generada a una dirección de correo electrónico de ProtonMail para recibir una clave de descifrado.

ESET declaró que no había observado ningún ataque en el mundo real utilizando HybridPetya hasta el 12 de septiembre. En vista de ello, parece que el ransomware puede ser una prueba de concepto o estar en fase de pruebas antes de su despliegue. La buena noticia es que el exploit utilizado por el malware se abordó en un parche de Windows en enero (martes de parches de enero de 2025), por lo que si un ordenador con Windows está actualizado, debería estar a salvo. No se sabe si HybridPetya podría afectar a otros sistemas operativos como macOS o Linux.