Eset, Polonya’dan kötü amaçlı yazılım tarama platformu VirusTotal’e yüklenen bir HybridPetya önyükleme kiti ve fidye yazılımı keşfetti. Örnek, kötü şöhretli Petya/NotPetya kötü amaçlı yazılımının bir kopyası; ancak UEFI tabanlı sistemleri tehlikeye atma ve CVE-2024-7344’ü silah olarak kullanarak eski sistemlerdeki UEFI Güvenli Önyüklemeyi atlatma yeteneğine sahip. Eset telemetri verileri, HybridPetya’nın henüz gerçek ortamda kullanıldığına dair herhangi bir işaret göstermiyor.
Keşfi yapan Eset araştırmacısı Martin Smolár yaptığı açıklamada şunları söyledi:
“2025 yılının Temmuz ayı sonlarında, notpetyanew.exe ve benzeri çeşitli dosya adları altında şüpheli fidye yazılımı örnekleri ile karşılaştık. Bu örnekler, 2017 yılında Ukrayna ve diğer birçok ülkeyi vuran, kötü şöhretli yıkıcı kötü amaçlı yazılımla bir bağlantı olduğunu düşündürüyor. NotPetya saldırısı, toplamda 10 milyar dolardan fazla hasara yol açan, tarihin en yıkıcı siber saldırısı olarak kabul ediliyor. Yeni keşfedilen örneklerin hem Petya hem de NotPetya ile ortak özellikleri nedeniyle bu yeni kötü amaçlı yazılıma HybridPetya adını verdik”
Kurbanın kişisel kurulum anahtarını oluşturmak için kullanılan algoritma, orijinal NotPetya’dan farklı olarak, kötü amaçlı yazılım operatörünün kurbanın kişisel kurulum anahtarlarından şifre çözme anahtarını yeniden oluşturmasına olanak tanıyor. Böylece HybridPetya, Petya’ya daha çok benzeyen normal bir fidye yazılımı olarak işlevini sürdürüyor. Ayrıca HybridPetya, EFI Sistem Bölümüne kötü amaçlı bir EFI uygulaması yükleyerek modern UEFI tabanlı sistemleri de tehlikeye atabilir. Dağıtılan UEFI uygulaması, NTFS ile ilgili Ana Dosya Tablosu (MFT) dosyasının şifrelenmesinden sorumlu. Bu dosya, NTFS formatlı bölümdeki tüm dosyalar hakkında bilgi içeren önemli bir meta veri dosyasıdır.
Smolár şunları söyledi:
“Biraz daha araştırma yaptıktan sonra, VirusTotal’de daha da ilginç bir şey keşfettik: Çok benzer bir HybridPetya UEFI uygulaması da dâhil olmak üzere tüm EFI Sistem Bölümü içeriğini içeren bir arşiv ancak bu sefer CVE-2024-7344’e karşı savunmasız, özel olarak biçimlendirilmiş bir cloak.dat dosyasında paketlenmiş olarak. CVE-2024-7344, ekibimizin 2025’in başlarında ortaya çıkardığı UEFI Güvenli Önyükleme atlama güvenlik açığı,”
Ocak 2025 tarihli ESET yayınları, istismarın ayrıntılarını kasıtlı olarak vermemişti; bu nedenle, kötü amaçlı yazılımın yazarı, güvenlik açığı bulunan uygulamayı kendi başına tersine mühendislik yaparak doğru cloak.dat dosya formatını yeniden oluşturmuş olabilir.
Eset telemetri verileri, HybridPetya’nın henüz aktif olarak kullanılmadığını gösteriyor; bu nedenle HybridPetya, bir güvenlik araştırmacısı veya bilinmeyen bir tehdit aktörü tarafından geliştirilen bir kavram kanıtı olabilir. Ayrıca bu kötü amaçlı yazılım, orijinal NotPetya’da görülen agresif ağ yayılımını sergilemiyor.
Kaynak : 