Ce nouveau rançongiciel abuse d’une vulnérabilité pour contourner l’Unified Extensible Firmware Interfase (UEFI, le successeur de BIOS) Secure Boot. Il s’agit là du quatrième kit de démarrage connu, capable de prendre le contrôle d’un ordinateur avant le chargement du système d’exploitation.
Des chercheurs de l’entreprise de sécurité ESET ont découvert un ransomware-bootkit capable de contourner la procédure de démarrage d’un ordinateur. Ils ont trouvé des traces du rançongiciel, qu’ils ont baptisé HybridPetya, dans des échantillons de VirusTotal. Cette appellation s’inspire des tristement célèbres effaceurs de données Petya et NotPetya, avec lesquels ce nouveau malware présente des similitudes.
Comment la guerre a éclaté avant même l’invasion russe
Souvenez-vous: les maliciels Petya et NotPetya avaient causé des milliards de dollars de dommages en 2016 et 2017 en effaçant des données d’entreprises. Ils contenaient également des bootkits capables d’écraser le Master Boot Record (MBR). Cela empêchait n’importe lequel ordinateur infecté de démarrer.
Ransomware
Ce nouveau malware ressemble plutôt à un rançongiciel qu’à un ‘wiper’ (effaceur). Il crypte notamment la Master File Table, qui contient des métadonnées importantes sur les différents fichiers des partitions NTFS.
Mais tout comme Petya, ce nouveau logiciel est capable de verrouiller un disque dur. L’un des échantillons découverts par ESET exploitait une vulnérabilité de l’UEFI, CVE-2024-7344, révélée plus tôt cette année et entre-temps corrigée par Microsoft. HybridPetya est ainsi capable d’infecter également des systèmes UEFI plus modernes.
Plus de 100 modèles laptop de Lenovo touchés par des bugs UEFI
Actuellement, le code d’HybridPetya semble être surtout un code de test ou une preuve de concept. Rien n’indique qu’il ait été effectivement utilisé pour pirater des ordinateurs. Néanmoins, il s’agit d’un rançongiciel potentiellement dangereux, dans la mesure où il peut contourner le démarrage sécurisé (‘secure boot’) d’un ordinateur, ce que la plupart des logiciels malveillants ne peuvent pas faire.