HybridPetya: Ransomware Baru yang Bisa Lewati UEFI Secure Boot
Peneliti keamanan dari ESET menemukan strain ransomware baru bernama HybridPetya yang mampu melewati fitur UEFI Secure Boot dan menginstal aplikasi berbahaya di EFI System Partition.
Terinspirasi Petya & NotPetya
HybridPetya tampak mengambil inspirasi dari malware destruktif Petya/NotPetya yang sempat melumpuhkan sistem global pada 2016–2017 dengan mengenkripsi data dan mencegah Windows melakukan boot. Bedanya, HybridPetya memberikan opsi pemulihan bila korban membayar tebusan.
ESET mencatat bahwa ini bisa saja proyek riset, proof-of-concept, atau versi awal dari alat siber yang masih diuji terbatas. Namun, kemunculannya menambah bukti bahwa UEFI bootkit dengan kemampuan Secure Boot Bypass merupakan ancaman nyata, sebagaimana kasus BlackLotus, BootKitty, dan Hyper-V Backdoor.
Mekanisme Serangan
HybridPetya memanfaatkan CVE-2024-7344, sebuah celah pada aplikasi yang ditandatangani Microsoft, memungkinkan penyerang memasang bootkit meski Secure Boot aktif.
Tahap serangan:
- Mengecek apakah host menggunakan UEFI + GPT partitioning.
- Menjatuhkan bootkit berbahaya ke dalam EFI System Partition.
- Mengganti file boot Windows dengan loader rentan
reloader.efi. - Menyimpan bootloader asli untuk dipulihkan bila tebusan dibayar.
- Memicu BSOD palsu lalu restart sistem.
- Mengenkripsi semua MFT clusters menggunakan algoritma Salsa20 sambil menampilkan pesan CHKDSK palsu ala NotPetya.
- Menampilkan catatan tebusan saat boot dengan permintaan $1,000 Bitcoin.
File yang digunakan ransomware (berbagai varian):
\EFI\Microsoft\Boot\config→ berisi flag enkripsi + key + nonce + ID korban\EFI\Microsoft\Boot\verify→ validasi kunci dekripsi\EFI\Microsoft\Boot\counter→ pelacak progres enkripsi\EFI\Microsoft\Boot\bootmgfw.efi.old→ backup bootloader asli\EFI\Microsoft\Boot\cloak.dat→ bootkit terenkripsi (XORed) untuk bypass Secure Boot
Status dan Mitigasi
- Belum ada laporan serangan nyata di dunia nyata, namun risiko weaponisasi tetap tinggi.
- Microsoft sudah menambal CVE-2024-7344 pada Patch Tuesday Januari 2025, sehingga perangkat Windows yang terupdate aman dari HybridPetya.
- Praktik penting: selalu perbarui sistem dan simpan backup offline data penting agar mudah dipulihkan tanpa perlu membayar tebusan.
ESET juga merilis indikator kompromi (IoC) di GitHub untuk membantu deteksi ancaman ini.
Sumber: ESET
