Novo ransonware ataca PC antes mesmo de ele inicializar; conheça o HybridPetya
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Um novo tipo de ransomware nasceu: é o HybridPetya, capaz de explorar uma vulnerabilidade na Interface Unificada do Firmware Extensível (UEFI), a famosa Inicialização Segura do Windows. É o quarto bootkit capaz de burlar as defesas do sistema operacional da Microsoft, tomando controle do PC antes mesmo de ligar completamente — algo que, há alguns anos, era lenda urbana.
Os responsáveis pela descoberta foram pesquisadores da ESET, que notaram amostras do bootkit no repositório de códigos hackers VirusTotal em fevereiro.
A tecnologia maliciosa foi batizada de HybridPetya por conta de similaridades com os já conhecidos vírus Petya e NotPetya, que também são capazes de travar o funcionamento do computador até que resgate seja pago.
Ransomware contido, mas não morto
O lado bom da descoberta é que o novo ransomware é apenas uma prova de conceito, ou seja, nunca foi visto agindo no computador de usuários, e não está sendo espalhado agressivamente como o NotPetya foi. Em 2017, esse vírus causou prejuízos de mais de R$ 50 bilhões pelo mundo. Assim como os predecessores, que travavam o Master Boot Record (MBR) do computador, o HybridPetya trava a Master File Table (MFT) com criptografia, a estrutura que guarda os metadados de arquivos nos volumes NTFS (ou seja, os discos rígidos).
A vulnerabilidade UEFI explorada é a CVE-2024-7344, que a ESET descobriu e divulgou ainda este ano; a Microsoft já corrigiu o problema em atualizações de software lançadas recentemente. O malware instala um aplicativo EFI maliciosos ao sistema de partições para conseguir encriptar os arquivos, fingindo, com uma mensagem CHKDSK, que o disco rígido está sendo verificado em busca de erros.
Após os arquivos serem encriptados, usando, neste caso, o algoritmo Salsa20, surge uma mensagem pedindo o envio de US$ 1.000 (cerca de R$ 5.400) para uma carteira de Bitcoins agora vazia. Isso seria a “compra” do desencriptador de arquivos responsável por destravar o PC, que é liberado para o usuário apenas após o pagamento.
Apesar do vírus não estar solto na natureza online, os especialistas temem pelas capacidades mostradas, valendo monitorar os sistemas por atores parecidos. O primeiro malware capaz de se aproveitar da inicialização segura foi o BlackLotus, em 2023, seguido do BootKitty e do Hyper-V Backdoor PoC, todos documentados pela ESET.
Confira mais no Canaltech:
- ChatGPT falso espalha ataques de ransomware, avisa Microsoft
- Novo ransomware consegue "cegar" antivírus para roubar dados
- Clone falso de Minecraft com vírus perigoso rouba senhas e espiona jogadores
VÍDEO | Como se proteger do ataque ransomware WannaCrypt