Siber güvenlik alanında dünya lideri olan ESET, Polonya’dan berbat gayeli yazılım tarama platformu VirusTotal’e yüklenen bir HybridPetya önyükleme kiti ve fidye yazılımı keşfetti. Örnek, makus şöhretli Petya/NotPetya berbat maksatlı yazılımının bir kopyası; lakin UEFI tabanlı sistemleri tehlikeye atma ve CVE-2024-7344’ü silah olarak kullanarak eski sistemlerdeki UEFI İnançlı Önyüklemeyi atlatma yeteneğine sahip. ESET telemetri bilgileri, HybridPetya’nın şimdi gerçek ortamda kullanıldığına dair rastgele bir işaret göstermiyor.
Keşfi yapan ESET araştırmacısı Martin Smolár yaptığı açıklamada “2025 yılının Temmuz ayı sonlarında, notpetyanew.exe ve gibisi çeşitli belge isimleri altında kuşkulu fidye yazılımı örnekleri ile karşılaştık. Bu örnekler, 2017 yılında Ukrayna ve öteki birçok ülkeyi vuran, berbat şöhretli yıkıcı makûs hedefli yazılımla bir irtibat olduğunu düşündürüyor. NotPetya saldırısı, toplamda 10 milyar dolardan fazla hasara yol açan, tarihin en yıkıcı siber saldırısı olarak kabul ediliyor. Yeni keşfedilen örneklerin hem Petya hem de NotPetya ile ortak özellikleri nedeniyle bu yeni berbat hedefli yazılıma HybridPetya ismini verdik” dedi.
Kurbanın ferdî heyetim anahtarını oluşturmak için kullanılan algoritma, özgün NotPetya’dan farklı olarak, makus emelli yazılım operatörünün kurbanın şahsî heyetim anahtarlarından şifre çözme anahtarını tekrar oluşturmasına imkan tanıyor. Böylelikle HybridPetya, Petya’ya daha çok benzeyen olağan bir fidye yazılımı olarak fonksiyonunu sürdürüyor. Ayrıyeten HybridPetya, EFI Sistem Kısmına makus hedefli bir EFI uygulaması yükleyerek çağdaş UEFI tabanlı sistemleri de tehlikeye atabilir. Dağıtılan UEFI uygulaması, NTFS ile ilgili Ana Evrak Tablosu (MFT) evrakının şifrelenmesinden sorumlu. Bu evrak, NTFS formatlı kısımdaki tüm evraklar hakkında bilgi içeren değerli bir meta data belgesidir.
Smolár “Biraz daha araştırma yaptıktan sonra, VirusTotal’de daha da değişik bir şey keşfettik: Çok benzeri bir HybridPetya UEFI uygulaması da dâhil olmak üzere tüm EFI Sistem Kısmı içeriğini içeren bir arşiv fakat bu sefer CVE-2024-7344’e karşı savunmasız, özel olarak biçimlendirilmiş bir cloak.dat evrakında paketlenmiş olarak. CVE-2024-7344, grubumuzun 2025’in başlarında ortaya çıkardığı UEFI İnançlı Önyükleme atlama güvenlik açığı,” dedi. Ocak 2025 tarihli ESET yayınları, istismarın detaylarını kasıtlı olarak vermemişti; bu nedenle, makûs hedefli yazılımın muharriri, güvenlik açığı bulunan uygulamayı kendi başına bilakis mühendislik yaparak yanlışsız cloak.dat evrak formatını tekrar oluşturmuş olabilir.
ESET telemetri dataları, HybridPetya’nın şimdi faal olarak kullanılmadığını gösteriyor; bu nedenle HybridPetya, bir güvenlik araştırmacısı yahut bilinmeyen bir tehdit aktörü tarafından geliştirilen bir kavram delili olabilir. Ayrıyeten bu makûs gayeli yazılım, orjinal NotPetya’da görülen agresif ağ yayılımını sergilemiyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı