ESET Research ha identificado un nuevo tipo de malware denominado HybridPetya en la plataforma de intercambio de muestras VirusTotal. Esta variante es un imitador de los conocidos malware Petya y NotPetya, y añade la capacidad de comprometer sistemas basados en UEFI al aprovechar una vulnerabilidad específica (CVE-2024-7344) que permite eludir el UEFI Secure Boot en sistemas desactualizados. Los nuevos ejemplos de ransomware, relacionados con HybridPetya, fueron subidos a VirusTotal en febrero de 2025.
A diferencia de sus predecesores, HybridPetya tiene la capacidad de cifrar la Tabla de Archivos Maestra (MFT), que contiene metadatos críticos sobre todos los archivos en particiones formateadas con NTFS. Esta variante introduce un enfoque más moderno al comprometer sistemas UEFI haciendo installaciones maliciosas en la partición EFI del sistema. En particular, algunos de los análisis han mostrado que una variante de HybridPetya explota la mencionada vulnerabilidad CVE-2024-7344 para eludir el UEFI Secure Boot en sistemas antiguos, utilizando un archivo especialmente diseñado llamado cloak.dat.
Aunque hasta el momento la telemetría de ESET no ha detectado el uso activo de HybridPetya en el mundo real, lo que resulta notable es que este malware no exhibe la misma agresividad en propagación en red que se observó con NotPetya. Se registraron muestras sospechosas en julio de 2025, provenientes de Polonia, bajo múltiples nombres de archivo, algunos de los cuales apuntan a una conexión con el devastador ataque que afectó a Ucrania y otros países en 2017.
HybridPetya no solo tiene la capacidad destructiva de sus predecesores, sino que también es capaz de recuperar claves de descifrado de la instalación personal del enemigo, convirtiéndolo en un ransomware real en vez de un simple malware destructivo. La técnica de cifrado de disco utilizada se basa en un algoritmo Salsa20, y al final del proceso de cifrado, el recurso vuelve a reiniciar el sistema.
El descubrimiento de esta nueva amenaza subraya la creciente complejidad y riesgo que representan los malware que explotan vulnerabilidades en las capas de seguridad más profundas de los sistemas operativos modernos. HybridPetya es la cuarta instancia conocida públicamente de un bootkit UEFI real o de prueba de concepto que incluye funcionalidades de bypass del UEFI Secure Boot. Aunque en este momento no se está propagando activamente, sus capacidades técnicas predicen futuras amenazas que requieren un seguimiento y atención constante.
Fuente: WeLiveSecurity by eSet.
