Säkerhetsforskare på ESET har upptäckt ett nytt utpressningsprogram i form av ett UEFI-bootkit, rapporterar Bleeping Computer.

Skadeprogrammet har fått namnet Hybridpetya och tar stora delar av sin kod från de välkända föregångarna Petya och Notpetya som spred skräck bland Windows-användare 2016–2017. Säkerhetsforskarna på ESET skriver att Hybridpetya fortfarande kan vara under utveckling eller ett test för att pröva ett koncept, men samtidigt är det ett verkligt hot mot användare då det är ett nytt exempel på ett UEFI-bootkit som kan ta sig runt Secure Boot.

Hybridpetya kan ta sig in på datorn och installera sig i EFI-partitionen istället för Windows vanliga bootloader på datorer som inte har uppdaterats med skydd mot sårbarheten CVE-2024-7344. Den placerar flera EFI-program i mappen \EFI\Microsoft\Boot som efter en omstart börjar kryptera innehållet på anslutna lagringsenheter.

När den är klar startar den om igen och visar ett typiskt utpressningsmeddelande. Om offret betalar lösensumman och får en dekrypteringsnyckel kan hen fylla i det här, så dekrypterar programmet alla data igen och återställer Windows-bootloadern.

ESET har hittills inte hittat några exempel där Hybridpetya har använts i attacker, men nu när skadeprogrammet är känt är det mycket möjligt att någon aktör börjar använda det. Microsoft åtgärdade CVE-2024-7344 i Windows-uppdateringarna för januari 2025, så användare som har uppdaterat till minst den versionen kan inte drabbas av skadeprogrammet i nuvarande form.