最近発見されたHybridPetyaと呼ばれるランサムウェア株は、UEFIセキュアブート機能をバイパスしてEFIシステムパーティションに悪意のあるアプリケーションをインストールすることができる。
HybridPetyaは、2016年と2017年の攻撃でコンピュータを暗号化し、Windowsの起動を阻止したが、回復オプションを提供しなかった破壊的なマルウェアPetya/NotPetyaに触発されたようだ。
サイバーセキュリティ企業ESETの研究者は、VirusTotalでHybridPetyaのサンプルを発見した。彼らは、これは研究プロジェクト、概念実証、またはまだ限定的なテスト中のサイバー犯罪ツールの初期バージョンである可能性があると指摘している。
それでもESETは、このツールの存在は、BlackLotus、BootKitty、Hyper-V Backdoorとともに、セキュアバイパス機能を持つUEFIブートキットが現実的な脅威であることを示すもう1つの例であるとしています。
HybridPetyaは、PetyaとNotPetyaの両方の特徴を取り入れており、これらの古いマルウェアの視覚的なスタイルや攻撃チェーンも含まれています。
しかし開発者は、EFIシステムパーティションへのインストールや、CVE-2024-7344脆弱性を悪用してセキュアブートをバイパスする機能などを新たに追加した。
ESETがこの欠陥を発見したのは今年1月のことで、この問題はMicrosoftが署名したアプリケーションで構成されており、ターゲット上でセキュアブート保護が有効になっていても、ブートキットを展開するために悪用される可能性があります。
ESET
HybridPetyaは、起動時にホストがGPTパーティショニングのUEFIを使用しているかどうかを判断し、複数のファイルで構成されるEFIシステムパーティションに悪意のあるブートキットをドロップします。
これらのファイルには、設定ファイルと検証ファイル、修正ブートローダ、フォールバックUEFIブートローダ、エクスプロイトペイロードコンテナ、および暗号化の進捗を追跡するステータスファイルが含まれます。
ESETは、分析したHybridPetyaの亜種全体で使用されているファイルを次のようにリストアップしています:
- EFIMicrosoftBootConfig(暗号化フラグ+キー+nonce+被害者ID)
- Microsoft Boot ¦verify (正しい復号化キーを検証するために使用)
- counter (progress tracker for encrypted clusters) (暗号化されたクラスタの進捗トラッカー)
- Bootmgfw.efi.old (元のブートローダのバックアップ)
- ¦Microsoft¦Boot¦cloak.dat (セキュア・ブート・バイパスの亜種のXOR化されたブートキットを含む)
また、このマルウェアは、⽮⽮Microsoft⽮ブート⽮mgfw.efi を脆弱な「reloader.efi」に置き換え、⽮⽮ブート⽮bootx64.efi を削除します。
また、被害者が身代金を支払ったことを意味する復元に成功した場合、元のWindowsブートローダーが起動するように保存される。
HybridPetyaが展開されると、Petyaと同様に偽のエラーを表示するBSODがトリガーされ、システムの再起動が強制され、システム起動時に悪意のあるブートキットが実行されるようになる。
この段階でランサムウェアは、NotPetyaのように偽のCHKDSKメッセージを表示しながら、設定ファイルから抽出したSalsa20キーとnonceを使用してすべてのMFTクラスタを暗号化します。
ソースはこちら:ESET
暗号化が完了すると、再度再起動が実行され、被害者にはシステム起動中に身代金のメモが表示され、1,000ドルのビットコインでの支払いが要求されます。
出典:ESET:ESET
その代わり、被害者には身代金メモの画面で入力できる32文字のキーが提供され、元のブートローダーを復元してクラスタを復号化し、ユーザーに再起動を促します。
HybridPetyaは、実際の攻撃では確認されていないものの、同様のプロジェクトがこのPoCを武器化し、パッチが適用されていないWindowsシステムを標的とした広範なキャンペーンに使用する可能性があります。
この脅威に対する防御に役立つ侵害の指標は、このGitHubリポジトリで公開されている。
Microsoftは、2025年1月のパッチ・チューズデーでCVE-2024-7344を修正したため、これ以降のセキュリティ更新プログラムを適用したWindowsシステムはHybridPetyaから保護されている。
ランサムウェアに対するもう一つの確実な対策は、最も重要なデータのオフライン・バックアップをとっておくことである。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments