El hallazgo fue reportado recientemente por investigadores de ESET, quienes destacan que HybridPetya puede comprometer equipos con particiones GPT, reemplazando archivos críticos de arranque como bootmgfw.efi con versiones manipuladas. Para activar la infección, el malware provoca falsos errores de pantalla azul (BSOD) y reinicia el sistema, momento en el que entra en acción su bootloader malicioso y el componente de cifrado basado en Salsa20, bloqueando los datos del usuario y exigiendo un rescate.

Lo más preocupante de esta variante es su capacidad para anular las garantías de seguridad de Secure Boot, lo que deja inservibles las medidas tradicionales de recuperación si el sistema no ha sido actualizado. Aunque de momento no se han registrado infecciones masivas, la publicación de este ransomware como prueba de concepto anticipa posibles campañas dirigidas contra entornos desprotegidos.

Los expertos recomiendan instalar sin demora los parches de seguridad de enero de 2025 emitidos por Microsoft para mitigar CVE-2024-7344, así como reforzar la protección mediante copias de seguridad offline, verificación de integridad en la partición EFI y eliminación de permisos innecesarios de arranque. Además, implementar autenticación multifactor en plataformas críticas puede reducir el riesgo de impacto.

HybridPetya representa un hito en el desarrollo de ataques a la cadena de arranque de Windows, evidenciando que incluso mecanismos considerados robustos como UEFI Secure Boot pueden ser superados si existen vulnerabilidades sin corregir.

Más información

• New HybridPetya ransomware can bypass UEFI Secure Boot
• NVD – CVE-2024-7344