ESET’ten, Petya’nın mirasçısı HybridPetya için kritik ihtar

Siber güvenlik alanında dünya lideri olan ESET, Polonya’dan makus emelli yazılım tarama platformu VirusTotal’e yüklenen bir HybridPetya önyükleme kiti ve fidye yazılımı keşfetti. Örnek, makûs şöhretli Petya/NotPetya makûs gayeli yazılımının bir kopyası; fakat UEFI tabanlı sistemleri tehlikeye atma ve CVE-2024-7344’ü silah olarak kullanarak eski sistemlerdeki UEFI İnançlı Önyüklemeyi atlatma yeteneğine sahip. ESET telemetri dataları, HybridPetya’nın şimdi gerçek ortamda kullanıldığına dair rastgele bir işaret göstermiyor. 

Keşfi yapan ESET araştırmacısı Martin Smolár yaptığı açıklamada “2025 yılının Temmuz ayı sonlarında, notpetyanew.exe ve gibisi çeşitli evrak isimleri altında kuşkulu fidye yazılımı örnekleri ile karşılaştık. Bu örnekler, 2017 yılında Ukrayna ve başka birçok ülkeyi vuran, berbat şöhretli yıkıcı makus maksatlı yazılımla bir temas olduğunu düşündürüyor. NotPetya saldırısı, toplamda 10 milyar dolardan fazla hasara yol açan, tarihin en yıkıcı siber saldırısı olarak kabul ediliyor. Yeni keşfedilen örneklerin hem Petya hem de NotPetya ile ortak özellikleri nedeniyle bu yeni makûs gayeli yazılıma HybridPetya ismini verdik” dedi.

Kurbanın ferdî heyetim anahtarını oluşturmak için kullanılan algoritma, yepyeni NotPetya’dan farklı olarak, berbat maksatlı yazılım operatörünün kurbanın ferdî suram anahtarlarından şifre çözme anahtarını tekrar oluşturmasına imkan tanıyor. Böylelikle HybridPetya, Petya’ya daha çok benzeyen olağan bir fidye yazılımı olarak fonksiyonunu sürdürüyor. Ayrıyeten HybridPetya, EFI Sistem Kısmına makus gayeli bir EFI uygulaması yükleyerek çağdaş UEFI tabanlı sistemleri de tehlikeye atabilir. Dağıtılan UEFI uygulaması, NTFS ile ilgili Ana Belge Tablosu (MFT) evrakının şifrelenmesinden sorumlu. Bu belge, NTFS formatlı kısımdaki tüm belgeler hakkında bilgi içeren değerli bir meta bilgi belgesidir. 

Smolár “Biraz daha araştırma yaptıktan sonra, VirusTotal’de daha da farklı bir şey keşfettik: Çok benzeri bir HybridPetya UEFI uygulaması da dâhil olmak üzere tüm EFI Sistem Kısmı içeriğini içeren bir arşiv fakat bu sefer CVE-2024-7344’e karşı savunmasız, özel olarak biçimlendirilmiş bir cloak.dat evrakında paketlenmiş olarak. CVE-2024-7344, takımımızın 2025’in başlarında ortaya çıkardığı UEFI İnançlı Önyükleme atlama güvenlik açığı,” dedi. Ocak 2025 tarihli ESET yayınları, istismarın detaylarını kasıtlı olarak vermemişti; bu nedenle, berbat emelli yazılımın müellifi, güvenlik açığı bulunan uygulamayı kendi başına aksine mühendislik yaparak yanlışsız cloak.dat belge formatını tekrar oluşturmuş olabilir. 

ESET telemetri dataları, HybridPetya’nın şimdi faal olarak kullanılmadığını gösteriyor; bu nedenle HybridPetya, bir güvenlik araştırmacısı yahut bilinmeyen bir tehdit aktörü tarafından geliştirilen bir kavram ispatı olabilir. Ayrıyeten bu makûs maksatlı yazılım, yepyeni NotPetya’da görülen agresif ağ yayılımını sergilemiyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı