Il ransomware HybridPetya bypassa l'avvio sicuro UEFI per criptare malignamente i dischi rigidi

Un nuovo ransomeware è in grado di aggirare una delle migliori misure di sicurezza contro la crittografia maligna del disco.

HybridPetya è un virus che è stato recentemente trovato dalla società di cybersicurezza ESET. Il malware è in grado di bypassare UEFI Secure Boot, un'utility di Windows che controlla i certificati del software che cerca di avviarsi su un'unità di archiviazione quando il PC viene acceso. Questo controllo di sicurezza, in teoria, impedisce l'avvio di codice maligno o di software non ufficiali.

Tuttavia, HybridPetya è in grado di rilevare quando un'unità infetta utilizza UEFI con partizionamento GPT e può aggirare Secure Boot. Una volta aggirato il Secure Boot, il malware aggiunge, elimina o altera i file di avvio sulla partizione di avvio per bloccare e crittografare il resto dei dati dell'unità.

Una volta attivato, HybridPetya presenterà all'utente un messaggio che afferma che tutti i suoi file sono crittografati. La nota di riscatto include anche le istruzioni per inviare 1000 dollari di Bitcoin a un portafoglio. All'utente infetto viene anche richiesto di inviare il proprio portafoglio Bitcoin e una chiave di installazione generata a un indirizzo e-mail di ProtonMail per ricevere una chiave di decriptazione.

ESET ha dichiarato di non aver notato alcun attacco reale con HybridPetya al 12 settembre. Alla luce di ciò, sembra che il ransomware possa essere un proof-of-concept o che si trovi in una fase di test prima della distribuzione. La buona notizia è che l'exploit utilizzato dal malware è stato affrontato in una patch di Windows a gennaio (Patch Tuesday del 2025), quindi se un computer Windows è aggiornato, dovrebbe essere al sicuro. Non è certo che HybridPetya possa colpire altri sistemi operativi come macOS o Linux.