ESET'ten HybridPetya Fidye Yazılımı İçin Kritik Uyarı

ESET, Polonya kaynaklı VirusTotal platformunda tespit edilen HybridPetya adlı yeni bir fidye yazılımı ve önyükleme kiti hakkında önemli bilgiler paylaştı.

Siber güvenlik alanında dünya lideri ESET, Polonya'dan VirusTotal platformuna yüklenen HybridPetya adlı yeni bir önyükleme kiti ve fidye yazılımı örneğini keşfetti. Bu kötü amaçlı yazılım, ünlü Petya/NotPetya ailesinin bir varyantı olup, UEFI tabanlı sistemleri hedefleyebilme ve CVE-2024-7344 güvenlik açığını kullanarak eski sistemlerde UEFI Güvenli Önyüklemeyi aşabilme yeteneğine sahip.

ESET araştırmacısı Martin Smolár, "2025 yılının Temmuz ayı sonlarında notpetyanew.exe ve benzeri dosya adlarıyla karşılaştık. Bu örnekler, 2017'de Ukrayna ve diğer ülkeleri etkileyen yıkıcı NotPetya saldırısıyla bağlantılı görünüyor. NotPetya, 10 milyar dolardan fazla zarara yol açan tarihin en yıkıcı siber saldırılarından biridir. Yeni tespit edilen örnekler hem Petya hem de NotPetya'nın özelliklerini taşıdığı için bu kötü amaçlı yazılıma HybridPetya adını verdik" dedi.

HybridPetya, kurbanın kişisel kurulum anahtarını oluşturmak için farklı bir algoritma kullanıyor ve bu sayede operatörün şifre çözme anahtarını yeniden oluşturmasına imkan tanıyor. Böylece, Petya'ya benzer şekilde çalışan klasik bir fidye yazılımı işlevi görüyor. Ayrıca, EFI Sistem Bölümüne kötü amaçlı bir EFI uygulaması yükleyerek modern UEFI tabanlı sistemleri de tehdit edebiliyor. Bu EFI uygulaması, NTFS dosya sistemi için kritik öneme sahip Ana Dosya Tablosu (MFT) dosyasını şifreliyor; MFT, bölümdeki tüm dosyalar hakkında meta veri içerir.

Smolár, "Araştırmalarımız sırasında VirusTotal'de, CVE-2024-7344 güvenlik açığına karşı savunmasız, özel biçimlendirilmiş cloak.dat dosyası içinde paketlenmiş benzer bir HybridPetya UEFI uygulaması içeren bir arşiv keşfettik. CVE-2024-7344, ekibimizin 2025 başında ortaya çıkardığı UEFI Güvenli Önyükleme atlama açığıdır. Ocak 2025'te yayımladığımız raporlarda bu açığın detaylarını vermemiştik; bu nedenle kötü amaçlı yazılım geliştiricisi, uygulamayı tersine mühendislik yaparak cloak.dat dosyasının doğru formatını oluşturmuş olabilir" diye ekledi.

ESET'in telemetri verileri, HybridPetya'nın henüz aktif olarak kullanılmadığını gösteriyor. Bu nedenle, kötü amaçlı yazılımın bir güvenlik araştırmacısı veya bilinmeyen bir tehdit aktörü tarafından kavram kanıtı olarak geliştirildiği düşünülüyor. Ayrıca HybridPetya, orijinal NotPetya'da görülen agresif ağ yayılımı davranışını göstermiyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

YORUMLAR

Adınız *

E-Posta Adresiniz *

Yorumunuz *