ESET’ten, Petya’nın mirasçısı HybridPetya için kritik ikaz

 

Siber güvenlik alanında dünya lideri olan ESET, Polonya'dan makus maksatlı yazılım tarama platformu VirusTotal'e yüklenen bir HybridPetya önyükleme kiti ve fidye yazılımı keşfetti. Örnek, makûs şöhretli Petya/NotPetya makus gayeli yazılımının bir kopyası; lakin UEFI tabanlı sistemleri tehlikeye atma ve CVE-2024-7344'ü silah olarak kullanarak eski sistemlerdeki UEFI İnançlı Önyüklemeyi atlatma yeteneğine sahip. ESET telemetri dataları, HybridPetya'nın şimdi gerçek ortamda kullanıldığına dair rastgele bir işaret göstermiyor. 

Keşfi yapan ESET araştırmacısı Martin Smolár yaptığı açıklamada “2025 yılının Temmuz ayı sonlarında, notpetyanew.exe ve gibisi çeşitli belge isimleri altında kuşkulu fidye yazılımı örnekleri ile karşılaştık. Bu örnekler, 2017 yılında Ukrayna ve öbür birçok ülkeyi vuran, makûs şöhretli yıkıcı makûs emelli yazılımla bir temas olduğunu düşündürüyor. NotPetya saldırısı, toplamda 10 milyar dolardan fazla hasara yol açan, tarihin en yıkıcı siber saldırısı olarak kabul ediliyor. Yeni keşfedilen örneklerin hem Petya hem de NotPetya ile ortak özellikleri nedeniyle bu yeni makûs hedefli yazılıma HybridPetya ismini verdik” dedi.

Kurbanın şahsî heyetim anahtarını oluşturmak için kullanılan algoritma, orjinal NotPetya'dan farklı olarak, makûs emelli yazılım operatörünün kurbanın şahsî suram anahtarlarından şifre çözme anahtarını tekrar oluşturmasına imkan tanıyor. Böylelikle HybridPetya, Petya'ya daha çok benzeyen olağan bir fidye yazılımı olarak fonksiyonunu sürdürüyor. Ayrıyeten HybridPetya, EFI Sistem Kısmına berbat maksatlı bir EFI uygulaması yükleyerek çağdaş UEFI tabanlı sistemleri de tehlikeye atabilir. Dağıtılan UEFI uygulaması, NTFS ile ilgili Ana Evrak Tablosu (MFT) evrakının şifrelenmesinden sorumlu. Bu belge, NTFS formatlı kısımdaki tüm evraklar hakkında bilgi içeren kıymetli bir meta bilgi belgesidir. 

Smolár "Biraz daha araştırma yaptıktan sonra, VirusTotal'de daha da farklı bir şey keşfettik: Çok benzeri bir HybridPetya UEFI uygulaması da dâhil olmak üzere tüm EFI Sistem Kısmı içeriğini içeren bir arşiv fakat bu sefer CVE-2024-7344'e karşı savunmasız, özel olarak biçimlendirilmiş bir cloak.dat evrakında paketlenmiş olarak. CVE-2024-7344, grubumuzun 2025'in başlarında ortaya çıkardığı UEFI İnançlı Önyükleme atlama güvenlik açığı," dedi. Ocak 2025 tarihli ESET yayınları, istismarın detaylarını kasıtlı olarak vermemişti; bu nedenle, berbat maksatlı yazılımın müellifi, güvenlik açığı bulunan uygulamayı kendi başına bilakis mühendislik yaparak gerçek cloak.dat evrak formatını yine oluşturmuş olabilir. 

ESET telemetri bilgileri, HybridPetya'nın şimdi etkin olarak kullanılmadığını gösteriyor; bu nedenle HybridPetya, bir güvenlik araştırmacısı yahut bilinmeyen bir tehdit aktörü tarafından geliştirilen bir kavram delili olabilir. Ayrıyeten bu makus gayeli yazılım, özgün NotPetya'da görülen agresif ağ yayılımını sergilemiyor.

 

 

 

Kaynak: (BYZHA) Beyaz Haber Ajansı