Siber güvenlik alanında öncü kuruluşlardan ESET, Polonya'dan VirusTotal platformuna yüklenen HybridPetya adlı yeni bir önyükleme kiti ve fidye yazılımı örneğini tespit etti. Bu kötü amaçlı yazılım, 2017'de Ukrayna ve birçok ülkede büyük zarara yol açan Petya/NotPetya'nın bir türevi olup, UEFI tabanlı sistemlere saldırabilme ve CVE-2024-7344 güvenlik açığını kullanarak eski sistemlerde UEFI Güvenli Önyüklemeyi aşabilme yeteneğine sahip.

ESET araştırmacısı Martin Smolár, "2025 yılının Temmuz ayı sonlarında notpetyanew.exe gibi isimlerle karşılaştığımız bu şüpheli fidye yazılımı örnekleri, 2017'deki yıkıcı NotPetya saldırısıyla bağlantılı olduğunu düşündürüyor. NotPetya, yaklaşık 10 milyar dolar zarara neden olmuştu. Yeni örnekler hem Petya hem de NotPetya özelliklerini taşıdığı için bu kötü amaçlı yazılıma HybridPetya adını verdik" dedi.

HybridPetya, kurbanın kişisel kurulum anahtarını oluşturmak için farklı bir algoritma kullanıyor ve böylece operatörün şifre çözme anahtarını yeniden oluşturmasına olanak sağlıyor. Bu sayede klasik bir fidye yazılımı gibi çalışıyor. Ayrıca, EFI Sistem Bölümüne kötü amaçlı bir EFI uygulaması yükleyerek modern UEFI tabanlı sistemleri de hedef alabiliyor. Bu uygulama, NTFS dosya sistemi için kritik öneme sahip Ana Dosya Tablosu (MFT) dosyasını şifreliyor.

Smolár, "Araştırmalarımız sırasında VirusTotal'de, CVE-2024-7344 açığına karşı savunmasız özel biçimlendirilmiş cloak.dat dosyası içinde paketlenmiş, benzer bir HybridPetya UEFI uygulaması içeren bir arşiv bulduk. Bu güvenlik açığı, ekibimizin 2025 başında ortaya çıkardığı UEFI Güvenli Önyükleme atlama zafiyetidir. Kötü amaçlı yazılım geliştiricisi, bu açığı kendi başına tersine mühendislik yaparak cloak.dat dosyasının doğru formatını oluşturmuş olabilir" ifadelerini kullandı.

ESET telemetri verileri, HybridPetya'nın henüz gerçek dünyada aktif olarak kullanılmadığını gösteriyor. Bu nedenle, yazılımın bir güvenlik araştırmacısı veya bilinmeyen bir tehdit aktörü tarafından kavram kanıtı olarak geliştirildiği düşünülüyor. Ayrıca, HybridPetya orijinal NotPetya'daki agresif ağ yayılımı özelliklerini taşımıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı