HybridPetya: Neue Ransomware bedroht UEFI-Systeme mit Secure-Boot-Bypass

VonJörn Schmidt
Hacker am PC
Foto von Clint Patterson auf Unsplash

Ein neu aufgetauchtes Schadprogramm namens HybridPetya sorgt aktuell für Aufsehen in der IT-Sicherheitswelt. Die Ransomware kombiniert Merkmale der berüchtigten Varianten Petya und NotPetya und ist in der Lage, die Sicherheitsfunktion UEFI Secure Boot zu umgehen. Damit kann sie tief ins System eingreifen und Schadcode direkt in der EFI-Bootpartition installieren. Das Resultat: betroffene Rechner starten nicht mehr und die Festplatte bleibt blockiert, bis ein Lösegeld gezahlt wird.

Die Malware wurde erstmals von der Sicherheitsfirma ESET auf der Plattform VirusTotal entdeckt. Erste Analysen zeigen, dass HybridPetya die Master File Table (MFT) verschlüsselt, die alle zentralen Metadaten auf NTFS-formatierten Partitionen enthält. Dadurch wird der Zugriff auf sämtliche Dateien des Systems verhindert. Nach der Verschlüsselung blendet die Software eine Lösegeldforderung ein: Opfer sollen rund 1000 US-Dollar in Bitcoin an eine bestimmte Wallet überweisen und zusätzlich einen Installationsschlüssel per ProtonMail an den Betreiber senden, um einen Entschlüsselungscode zu erhalten.

Besonders gefährlich ist die Fähigkeit, UEFI-gestützte Systeme zu kompromittieren. HybridPetya kann prüfen, ob ein infizierter Datenträger mit GPT-Partitionierung arbeitet, anschließend Sicherheitsmechanismen umgehen und bösartige Dateien in der Bootumgebung ablegen. Mit dieser Technik erreicht die Schadsoftware eine Tiefe im System, die über klassische Angriffe hinausgeht.

Obwohl bisher keine bestätigten Angriffe in freier Wildbahn dokumentiert sind, deuten die Proben auf ein mögliches Proof-of-Concept oder eine Testversion hin. ESET weist darauf hin, dass die Schwachstelle, die HybridPetya ausnutzt (CVE-2024-7344), bereits im Januar 2025 durch ein Windows-Update behoben wurde. Systeme, die regelmäßig Sicherheits-Patches einspielen, sind demnach besser geschützt. Unklar bleibt, ob auch macOS oder Linux betroffen sein könnten.

Die Fachleute sehen Parallelen zu den massiven Attacken von NotPetya 2017, die weltweit Schäden in Milliardenhöhe verursachten. Anders als bei NotPetya, das vor allem auf Zerstörung abzielte, erlaubt HybridPetya theoretisch eine Wiederherstellung verschlüsselter Daten, sofern das Opfer den geforderten Schlüssel erhält. Trotzdem birgt die Schadsoftware erhebliches Potenzial, zumal sie moderne Abwehrmechanismen umgehen kann.

Noch gibt es keine Anzeichen, dass HybridPetya bereits aktiv verteilt wird. Doch die Entdeckung zeigt, dass Angriffe auf die Firmware-Ebene längst kein theoretisches Risiko mehr darstellen, sondern zunehmend ins Visier von Kriminellen rücken. Nutzer sollten ihre Systeme daher konsequent aktuell halten und prüfen, ob der Secure-Boot-Status sowie alle relevanten Updates auf dem neuesten Stand sind.

Verpasse keine News, folge mir auf WhatsApp oder Google News


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert