- Les chercheurs d’ESET ont identifié sur VirusTotal de nouveaux échantillons de ransomware baptisés HybridPetya, dérivés de l’architecture Petya/NotPetya.
- HybridPetya chiffre la Master File Table (MFT) NTFS, compromettant l’accès aux métadonnées sensibles de l’ensemble des fichiers de la partition.
- Ce malware est capable d’infecter les systèmes UEFI modernes, en déployant une application EFI malveillante sur la partition système.
- Une variante d’HybridPetya exploite la faille CVE-2024-7344, via un fichier cloak.dat spécialement conçu, pour contourner le démarrage sécurisé sur des machines vulnérables.
- À ce jour, aucune activité malveillante d’HybridPetya n’a été détectée, selon la télémétrie d’ESET.
Les chercheurs d’ESET ont identifié un échantillon de malware sur la plateforme VirusTotal, téléchargé depuis la Pologne. Ce logiciel malveillant, baptisé HybridPetya, reprend les caractéristiques du tristement célèbre Petya/NotPetya, tout en intégrant des capacités avancées et inédites : compromission de systèmes UEFI et exploitation de la vulnérabilité CVE-2024-7344 pour contourner le démarrage sécurisé sur des machines obsolètes.
« Fin juillet 2025, nous avons détecté plusieurs fichiers suspects, dont notpetyanew.exe, évoquant clairement une filiation avec le malware destructeur qui avait frappé l’Ukraine et d’autres pays en 2017. Cette attaque, connue sous le nom de NotPetya, reste l’une des plus dévastatrices de l’histoire, avec des pertes estimées à plus de 10 milliards de dollars. En raison des similitudes techniques observées, nous avons nommé cette nouvelle variante HybridPetya », explique Martin Smolár, chercheur chez ESET qui a fait la découverte.
Contrairement à NotPetya, HybridPetya utilise un algorithme permettant à l’attaquant de reconstituer la clé de déchiffrement à partir de la clé d’installation personnelle de la victime, ce qui en fait un ransomware pleinement fonctionnel, à l’image du Petya original.Le malware intègre également une capacité de compromission des systèmes UEFI modernes via l’installation d’une application EFI malveillante sur la partition système.Cette application chiffre ensuite le fichier MFT (Master File Table), essentiel au fonctionnement des partitions NTFS.
« En poursuivant nos investigations sur VirusTotal, nous avons découvert une archive contenant l’intégralité d’une partition système EFI. Celle-ci incluait une version similaire de l’application UEFI HybridPetya, encapsulée dans un fichier cloak.dat spécialement formaté pour exploiter la CVE-2024-7344 ; une vulnérabilité que nous avons révélée début 2025 », ajoute M. Smolár. «Bien que nos publications de janvier aient volontairement omis les détails techniques de l’exploitation, il semble que l’auteur du malware ait réussi à reconstruire le format du fichier vulnérable via rétro-ingénierie. »
À ce jour, la télémétrie d’ESET ne montre aucune activité malveillante de HybridPetyadans un environnement réel. Il pourrait s’agir d’un prototype développé à des fins de recherche ou par un acteur malveillant encore inconnu. Par ailleurs, cette variante ne présente pas les capacités de propagation réseau agressive observées dans NotPetya.
Pour une analyse technique approfondie, consultez l’article complet d’ESET ResearchPrésentation d’HybridPetya : copie de Petya/NotPetya avec contournement de démarrage sécurisé UEFIsur WeLiveSecurity.com.