ESET découvre HybridPetya : un ransomware capable de contourner Secure Boot et d’attaquer les systèmes UEFI

Un nouveau ransomware utilise une fonctionnalité d'Amazon AWS pour chiffrer les buckets S3
Share on Pinterest Share on LinkedIn

Des chercheurs de ESET Research ont identifié un nouveau malware qu’ils ont nommé HybridPetya, un ransomware dangereux qui rappelle le dévastateur Petya/NotPetya qui, en 2017, a causé des pertes estimées à plus de 10 milliards de dollars. La nouveauté réside dans le fait que cette variante est capable de compromettre des systèmes modernes UEFI et d’exploiter des vulnérabilités pour contourner le Secure Boot, l’une des dernières lignes de défense du démarrage sécurisé sur les appareils actuels.

Une menace combinant le pire de Petya et NotPetya

Les premiers indices de HybridPetya ont été détectés sur VirusTotal en février 2025, téléchargés depuis la Pologne. Selon l’expert d’ESET Martin Smolár, les fichiers — portant des noms comme notpetyanew.exe — présentaient des similitudes tant avec le Petya original qu’avec NotPetya.

La différence clé est que HybridPetya permet bien de déchiffrer les fichiers sur demande de l’attaquant, contrairement à NotPetya, conçu comme un wiper sans possibilité de récupération. Il se rapproche davantage du modèle classique de ransomware, tout en conservant l’agressivité et les techniques destructrices de son “frère aîné”.

Le malware chiffre la Master File Table (MFT) des systèmes de fichiers NTFS, un fichier critique qui contient les informations de tous les fichiers sur un disque. Lorsqu’il est rendu inutilisable, le système d’exploitation ne peut plus accéder aux données, immobilisant complètement la machine.

Une avancée vers les systèmes UEFI

Ce qui distingue HybridPetya comme une menace différente, c’est sa capacité à compromettre les ordinateurs modernes par l’installation d’une application EFI malveillante dans la partition du système EFI (ESP).

Ce bootkit lui permet d’exécuter le chiffrement à un stade très précoce du démarrage, avant que le système d’exploitation ne soit chargé, rendant inopérants les mécanismes de sécurité de Windows et compliquant considérablement la récupération.

Un des échantillons analysés comprenait également un fichier cloak.dat manipulé exploitant la vulnérabilité CVE-2024-7344, une faille dans Secure Boot révélée début 2025. Grâce à cette faille, HybridPetya peut contourner le Secure Boot sur des systèmes non à jour, ouvrant la voie à des attaques même sur des machines modernes supposément protégées.

Une preuve de concept ou une menace imminente ?

Pour l’instant, la télémétrie d’ESET n’a pas détecté de campagnes actives de HybridPetya. Cela laisse penser qu’il pourrait s’agir d’un proof of concept réalisé par des chercheurs ou par des groupes de cybercriminels en phase de test.

Contrairement à NotPetya, HybridPetya ne présente pas encore de mécanismes de propagation massive en réseau, ce qui limite son extension. Cependant, le fait qu’il intègre des techniques avancées contre l’UEFI et Secure Boot indique un intérêt évident de la part des attaquants à rendre ce ransomware plus sophistiqué pour de futurs scénarios.

Implications et risques

La découverte de HybridPetya met en lumière plusieurs enjeux cruciaux en matière de cybersécurité :

  • Évolution du ransomware : la tendance à cibler les composants du démarrage et le firmware marque un saut qualitatif dans la difficulté de détection et de mitigation.
  • Obsolescence des correctifs : les systèmes qui n’ont pas appliqué les mises à jour contre CVE-2024-7344 sont immédiatement vulnérables.
  • Attaques ciblées : bien qu’aucune campagne massive n’ait encore été observée, HybridPetya pourrait être utilisé pour des opérations chirurgicales contre des infrastructures critiques ou des entités gouvernementales.

Questions fréquemment posées

Qu’est-ce qu’HybridPetya ?
C’est un nouveau ransomware découvert par ESET en 2025, combinant des caractéristiques de Petya et NotPetya, avec la capacité supplémentaire de compromettre les systèmes UEFI et de contourner Secure Boot.

Comment cela affecte-t-il les systèmes actuels ?
Il installe un bootkit dans la partition EFI et chiffre la Master File Table (MFT) des disques NTFS, empêchant l’accès aux fichiers et bloquant le système d’exploitation.

Perçoit-on déjà des campagnes actives ?
Pour l’heure, aucune preuve d’utilisation massive n’a été trouvée. Les exemplaires détectés semblent être des prototypes ou des préparatifs pour de futurs attaques.

Comment se protéger contre HybridPetya ?
Appliquer les correctifs de sécurité contre les vulnérabilités UEFI telles que CVE-2024-7344, conserver des sauvegardes hors ligne et renforcer les politiques de sécurité au démarrage sont parmi les mesures clés pour se prémunir contre cette menace.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

IDC nomme Cloudera « leader » dans les plateformes d’IA unifiées 2025 en Asie-Pacifique : gouvernance des données, sécurité et flux agentic comme marques de reconnaissance

Hostinger révolutionne le service client avec son agent IA Kodee : plus de 9 millions d’euros d’économies par an

TCS lance des services d’ingénierie basés sur des chiplets pour accélérer l’innovation dans les semi-conducteurs

La Russie coupe les services Internet pour freiner les drones ukrainiens et provoque des coupures de courant numériques massives

Apple prépare trois chipsets A20 pour l’iPhone 18 : une stratégie inédite avec la transition vers 2 nanomètres

Le chip N1 de l’iPhone 17 limite le Wi-Fi 7 : que font Google et Samsung avec 320 MHz ?