Une nouvelle variante de ransomware baptisée HybridPetya vient d’être identifiée, reprenant les caractéristiques des célèbres malwares Petya et NotPetya, tout en ajoutant la capacité de contourner le Secure Boot UEFI. Cette menace utilise une faille critique (CVE-2024-7344) dans le firmware pour s’infiltrer dans les systèmes modernisés. Les chercheurs en cybersécurité d’ESET ont découvert cette attaque en février 2025, après avoir analysé des échantillons déposés sur VirusTotal. Pour celles et ceux qui s’intéressent à la sécurité des systèmes Windows, aux attaques UEFI, ou à l’actualité des malwares, ce nouveau ransomware soulève de vives inquiétudes dans le paysage cyber.
Une nouvelle génération de ransomware inspirée de Petya
HybridPetya : un ransomware ciblant les systèmes UEFI modernes
HybridPetya chiffre la Master File Table (MFT), qui contient les métadonnées essentielles des partitions NTFS. Contrairement à la version originale de Petya, cette version est capable d’infecter un système via une application EFI malveillante injectée dans la partition système UEFI. C’est cette application qui lance l’opération de chiffrement, en ciblant les partitions Windows de manière silencieuse.
Composants du ransomware et fonctionnement
Le malware se compose de deux éléments : un bootkit et un installeur. Le bootkit, une fois injecté, valide l’état de chiffrement du disque à l’aide d’un indicateur dont les valeurs sont :
- 0 : prêt pour le chiffrement
- 1 : déjà chiffré
- 2 : rançon payée, disque déchiffré
Lorsque la valeur est à 0, HybridPetya procède au chiffrement du fichier \EFI\Microsoft\Boot\verify en utilisant l’algorithme Salsa20, tout en créant un fichier \EFI\Microsoft\Boot\counter, servant à suivre l’état du chiffrement sur les partitions NTFS.
Un contournement du Secure Boot UEFI grâce à la faille CVE‑2024‑7344
Exploitation d’une faille critique dans le bootloader Reloader
Certains variants de HybridPetya exploitent la vulnérabilité CVE‑2024‑7344, classée avec un score CVSS de 6,7. Celle-ci réside dans l’application Reloader UEFI (reloader.efi), renommée en bootmgfw.efi, permettant au malware de contourner le Secure Boot en chargeant un fichier nommé cloak.dat. Ce dernier contient une version dissimulée et chiffrée du bootkit, contournant ainsi les mécanismes d’intégrité du firmware.
Déclenchement de la charge utile au démarrage
Lors du redémarrage, bootmgfw.efi exécute Reloader, qui charge clandestinement la charge utile UEFI sans vérifier l’intégrité. Cela provoque une attaque au niveau firmware particulièrement sophistiquée. L’installation du bootkit déclenche également une erreur critique système (Blue Screen of Death) et assure que la charge malveillante sera relancée au prochain redémarrage.
Phase de rançon et possibilités de déchiffrement
Demande de rançon en bitcoin et interaction avec la victime
Une fois le disque chiffré, la victime est confrontée à un écran de rançon invitant à transférer 1 000 $ en Bitcoin au portefeuille suivant : 34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2. Au mois de mai 2025, le portefeuille n’a reçu que 183,32 $ selon ESET. L’utilisateur a la possibilité d’entrer une clé de déchiffrement fournie après paiement, que le bootkit valide avant d’inverser le processus.
Déchiffrement et restauration des fichiers système
Une fois la clé entrée, le bootkit lit la valeur du fichier counter pour évaluer combien de clusters doivent être restaurés. Le processus rétablit également les gestionnaires de démarrage légitimes : \EFI\Boot\bootx64.efi et \EFI\Microsoft\Boot\bootmgfw.efi, sauvegardés en phase d’installation. À la fin de l’opération, l’utilisateur est invité à redémarrer la machine normalement.
Lien avec NotPetya et tentatives de preuve de concept
Une évolution tactique des menaces UEFI
HybridPetya se distingue du destructeur NotPetya par sa capacité à permettre la reconstruction de la clé de chiffrement à partir des clés d’installation personnelles. Cela laisse entrevoir une possible dimension de test ou de preuve de concept (PoC).
Une multiplication des attaques contre le Secure Boot UEFI
Selon ESET, HybridPetya représente le quatrième exemple connu de bootkit UEFI exploitant une faille de Secure Boot après BlackLotus, BootKitty (LogoFail) et le backdoor Hyper-V. L’augmentation de ce type de menace démontre la popularité croissante des attaques firmware, chose également observée lors de l’analyse du PoC Petya UEFI publié par la chercheuse Aleksandra Doniec.
Se protéger contre HybridPetya et apprendre à comprendre les cyberattaques UEFI
Face à des menaces aussi avancées, il devient fondamental pour les entreprises comme pour les professionnels de l’IT de mieux comprendre les techniques utilisées dans les attaques UEFI. Pour les passionnés souhaitant apprendre à hacker dans une optique de cybersécurité défensive, notre livre pour hacker est conçu pour vous guider dans l’analyse des systèmes, l’exploitation de vulnérabilités et la défense de vos endpoints.
Chez CyberCare, nous accompagnons régulièrement les entreprises dans la prévention des ransomwares via l’audit des systèmes UEFI, le durcissement du Secure Boot et des solutions EDR efficaces.
