Nieuwe Ransomware HybridPetya Ontdekt: Een Groeiende Dreiging voor Moderne Systemen

Onderzoekers van ESET Research hebben een nieuwe malware ontdekt die ze HybridPetya hebben genoemd. Deze gevaarlijke ransomware vertoont overeenkomsten met de verwoestende Petya/NotPetya, die in 2017 naar schatting meer dan 10 miljard dollar aan schade veroorzaakte. Wat HybridPetya zo bijzonder maakt, is zijn vermogen om moderne UEFI-systemen te compromitteren en kwetsbaarheden te benutten om het Secure Boot-mechanisme te omzeilen, wat een van de laatste verdedigingslinies vormt voor veilige opstart van hedendaagse apparaten.

Een Bedreiging die het Slechtste van Petya en NotPetya Combineert

De eerste sporen van HybridPetya verschenen in VirusTotal in februari 2025, geüpload vanuit Polen. Onderzoeker bij ESET, Martin Smolár, legt uit dat de bestanden – met namen als notpetyanew.exe – zowel overeenkomsten vertonen met het originele Petya als met NotPetya.

De belangrijkste verschil is dat HybridPetya toegestaan is om bestanden te decoderen op verzoek van de aanvaller, in tegenstelling tot NotPetya, dat als een wiper was ontworpen zonder mogelijkheid tot herstel. Dit plaatst het dichter bij het klassieke ransomware-model, terwijl het de agressiviteit en destructieve technieken van zijn “oudere broer” behoudt.

De malware versleutelt de Master File Table (MFT) van NTFS-bestandssystemen, een cruciaal bestand dat informatie bevat over alle bestanden op een schijf. Zodra dit bestand onbruikbaar is, kan het besturingssysteem geen toegang meer krijgen tot de gegevens, waardoor het apparaat volledig wordt geblokkeerd.

De Sprong naar UEFI-systemen

Wat HybridPetya tot een unieke bedreiging maakt, is de mogelijkheid om hedendaagse computers te compromitteren door een kwaadaardige EFI-applicatie te installeren in de EFI-systeempartitie (ESP).

Deze bootkit stelt de malware in staat om de versleuteling vroeg in het opstartproces uit te voeren, voordat het besturingssysteem wordt geladen, waardoor de beveiligingsmechanismen van Windows onbruikbaar worden en het moeilijker wordt om te herstellen.

Een van de geanalyseerde exemplaren bevatte bovendien een gemanipuleerd cloak.dat-bestand dat gebruikmaakte van de kwetsbaarheid CVE-2024-7344, een fout in Secure Boot die begin 2025 werd onthuld. Dankzij deze exploit kan HybridPetya het veilige opstarten omzeilen op niet-geüpdatete systemen, wat de deur opent naar aanvallen op zelfs moderne apparaten die zouden moeten zijn beschermd.

Bewijs van Concept of Onmiddellijke Bedreiging?

Momenteel heeft de telemetrie van ESET nog geen actieve campagnes van HybridPetya gedetecteerd. Dit wijst erop dat het kan gaan om een proof of concept dat door onderzoekers of cybercriminelen in de testfase is ontwikkeld.

In tegenstelling tot NotPetya vertoont HybridPetya nog geen mechanismen voor massale netwerkverspreiding, wat de reikwijdte beperkt. Desondanks duidt het feit dat het geavanceerde technieken tegen UEFI en Secure Boot omvat op een duidelijke interesse van aanvallers om ransomware te verfijnen voor toekomstige scenario’s.

Implicaties en Risico’s

De ontdekking van HybridPetya benadrukt verschillende kritieke punten voor de huidige cybersecurity:

• Evolutie van Ransomware: De tendens om zich te richten op opstartcomponenten en firmware wijst op een kwalitatieve sprong in de detectie- en mitigatiemogelijkheden.
• Obsolescentie in Patches: Systemen die de updates tegen CVE-2024-7344 niet hebben toegepast, lopen onmiddellijk risico.
• Gerichte Aanvallen: Hoewel er nog geen massale campagnes zijn waargenomen, kan HybridPetya worden gebruikt in chirurgische operaties tegen kritieke infrastructuren of overheidsentiteiten.

Veelgestelde Vragen

Wat is HybridPetya?
HybridPetya is een nieuwe ransomware ontdekt door ESET in 2025 die kenmerken van Petya en NotPetya combineert, met de extra mogelijkheid om UEFI-systemen te compromitteren en Secure Boot te omzeilen.

Hoe beïnvloedt het moderne systemen?
Het installeert een bootkit in de EFI-partitie en versleutelt de Master File Table (MFT) van NTFS-schijven, waardoor toegang tot bestanden wordt verhinderd en het besturingssysteem wordt geblokkeerd.

Circuleren er al actieve campagnes?
Voorlopig zijn er geen aanwijzingen voor massaal gebruik. De gedetecteerde exemplaren lijken te behoren tot tests of voorbereidingen voor toekomstige aanvallen.

Hoe kun je jezelf beschermen tegen HybridPetya?
Het toepassen van beveiligingsupdates tegen UEFI-kwetsbaarheden zoals CVE-2024-7344, het onderhouden van offline back-ups en het versterken van opstartbeveiligingsbeleid zijn belangrijke preventieve maatregelen.