Secondo Eset Research, che ha scoperto il ransomware HybridPetya, la variante è in grado di sfruttare una vulnerabilità per aggirare il Secure Boot Uefi.

“HybridPetya evidenzia una tendenza crescente nella cyber security: gli attaccanti si spingono sempre più in profondità nel sistema, prendendo di mira i livelli di firmware UEFI invece del solo sistema operativo”, commenta a CyberSecurity360 Martin Smolár, ESET Malware Researcher.

“Le compromissioni al livello del firmware Uefi portano gli attacchi ad un nuovo livello, evidenziando i rischi non solo più ai sistemi operativi (software)”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Secondo Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0, “HybridPetya è l’ennesimo schiaffo a chi crede che ‘basti l’antivirus’“.

Ecco come proteggersi dal ransomware, anche se finora mancano evidenze di uno sfruttamento attivo nel mondo reale.

Ransomware HybridPetya: il precedente, le differenze e le caratteristiche

Alla fine di luglio 2025, i ricercatori di Eset hanno rilevato un bootkit e un ransomware, chiamato HybridPetya, il cui caricamento è avvenuto dalla Polonia sulla piattaforma di scansione malware VirusTotal.

Il campione imita il famigerato Petya/NotPetya. Tuttavia “a differenza di quest’ultimo, che era essenzialmente distruttivo, il modello HybridPetya permette di ricostruire la chiave di decrittazione dal ‘personal installation key’ della vittima: ciò trasforma l’attacco da ‘distruttivo’ a ‘ricattatorio’ (con possibilità reali di recupero)”, spiega Dario Fadda.

Notpetyanew.exe e altri affini si associa al malware super distruttivo che mise in ginocchio l’Ucraina e numerosi altri Paesi nel 2017. L’attacco NotPetya è considerato il più distruttivo della storia. Ha totalizzato danni complessivi oltre i 10 miliardi di dollari.

“Per via delle caratteristiche comuni tra i nuovi campioni e sia Petya che NotPetya, abbiamo deciso di chiamare questo nuovo malware HybridPetya”, ha puntualizzato Martin Smolár, ricercatore Eset, autore della scoperta.

Nel dettaglio, HybridPetya può cifrare la Master File Table, compromettendo i sistemi moderni fondati su Uefi, attraverso l’installazione di un’applicazione malevola EFI.

La variante è in grado di sfruttare la vulnerabilità CVE-2024-7344 per aggirare il Secure Boot con un file cloak.dat.

“Qui si scende sotto l’OS, si tocca UEFI, si cifra la MFT e si buca Secure Boot sui sistemi lasciati indietro“, avverte Sandro Sana.

I dettagli

Per la generazione della chiave di installazione personale della vittima, a differenza di NotPetya, l’algoritmo permette all’operatore del malware di effettuare la ricostruzione della chiave di decrittazione a partire dalle chiavi personali delle vittime.

In questo modo, HybridPetya resta usabile come ransomware classico, più affine a Petya.

Inoltre, compromettendo i sistemi basati su Uefi, tramite l’installazione di un’applicazione EFI malevola sulla EFI System Partition. Distribuita, l’applicazione è dunque responsabile della cifratura della Master File Table (MFT), un file di metadati essenziale contente le informazioni riferite a tutti i file sulla partizione NTFS.

“Approfondendo l’analisi, abbiamo scoperto su VirusTotal qualcosa di ancora più interessante: un archivio contenente l’intero contenuto della EFI System Partition, compresa un’applicazione UEFI HybridPetya molto simile, ma questa volta integrata in un file cloak.dat appositamente formattato, vulnerabile alla CVE-2024-7344 – la falla di bypass del Secure Boot UEFI che il nostro team ha reso nota a inizio 2025”, approfondisce Martin Smolár.

Come proteggersi

“La tendenza che ci si deve aspettare è che i ransomware evolveranno sempre più verso attacchi al firmware e al boot, perché questi strati sono difficili da monitorare e da bonificare“, mette in guardia Dario Fadda.

Ciò significa che “se pensi che il boot sia ‘territorio sacro'”, questo è un campanello d’allarme. “Senza DBX aggiornato e firmware in ordine, la tua coperta di Linus non copre niente”, evidenzia Sana.

“Messaggio per gli IT: smettetela di parlare solo di patch di Windows e licenze EDR, mettete a budget revoche Secure Boot, aggiornamenti firmware governati dai vendor, controllo d’integrità in fase di avvio, backup offline realmente testati e runbook di risposta ‘pre-OS’. Proof-of-concept o no, il rischio è reale: o mettetew in sicurezza l’accensione, o state solo lucidando la carrozzeria di un’auto senza chiave“, conclude Sandro Sana.

In definitiva, “le aziende italiane devono considerare la sicurezza del firmware come una delle priorità strategiche e iniziare a guardare oltre le misure di sicurezza tradizionali, installare regolarmente gli aggiornamenti del firmware e monitorare i sistemi per rilevare eventuali anomalie nel processo di avvio”, avverte Martin Smolár, ESET Malware Researcher.