HybridPetya ist eine neue Ransomware-Variante, die aktuelle IT-Sicherheitsdiskussionen prägt: Sie kombiniert die bekannten Techniken von Petya und NotPetya und kann erstmals UEFI Secure Boot auf modernen Systemen effektiv umgehen.
Was ist HybridPetya?
HybridPetya vereint die Merkmale von Petya und NotPetya, indem sie die Master File Table (MFT) auf NTFS-Partitionen verschlüsselt und damit sämtliche Metadaten sowie Zugriffswege zu den Dateien blockiert. Erst nach Zahlung eines Lösegelds – gefordert werden meist rund 1000 US-Dollar in Bitcoin – und Kontakt über ProtonMail erhalten die Opfer (theoretisch) einen Wiederherstellungsschlüssel.
Secure Boot – und warum der Schutz wichtig ist
UEFI Secure Boot soll verhindern, dass vor dem Laden des Betriebssystems Schadcode ausgeführt wird. Dazu werden Integritätsprüfungen auf Bootloader und UEFI-Anwendungen angewendet. Nur signierte und vertrauenswürdige Software darf im Bootprozess aktiviert werden, damit klassische Bootkit-Angriffe ausgebremst werden. TPM 2.0 in Verbindung mit Secure Boot ist eine voraussetzung bei der Hardware eines PCs um Windows 11 überhaupt (legal) installieren zu können.
Wie HybridPetya UEFI Secure Boot umgeht
HybridPetya nutzt gezielt die Schwachstelle CVE-2024-7344, um die Integritätsprüfungen im UEFI Secure Boot zu unterlaufen. Die Malware erkennt, ob das System im UEFI-Modus mit GPT-Partitionierung läuft, greift die EFI System Partition an, entfernt und überschreibt Bootloader-Dateien (z. B. Bootx64.efi, bootmgfw.efi) und lagert eigene bösartige UEFI-Anwendungen dort ab. Ein spezielles Format im sogenannten „cloak.dat“-File sorgt dafür, dass beim Booten die UEFI-Anwendung ohne Integrity-Checks geladen wird – das Herzstück der Secure Boot-Umgehung.winfuture+3
Die Secure Boot-Checks werden dadurch außer Kraft gesetzt; Schadcode kann direkt ins System eingeschleust und die Verschlüsselung aktiviert werden. Besonders gefährlich: Die Änderungen erfolgen tief im System, der Startvorgang ist kompromittiert, und betroffene Rechner lassen sich selbst mit Recovery-Tools nicht mehr einfach starten oder reparieren.
Schutz und Gegenmaßnahmen
Microsoft hat die betreffende Schwachstelle CVE-2024-7344 im Januar 2025 durch Sicherheitsupdates geschlossen. Systeme, die regelmäßig aktualisieren, sind gegen diese Angriffsform geschützt. Dennoch zeigt HybridPetya, wie attraktiv und realistisch Secure Boot-Umgehungen für Angreifer und Forscher mittlerweile sind. Regelmäßige Offline-Backups und aktuelle Sicherheitspatches bleiben entscheidend für den Schutz gegen solche tiefgehenden Bedrohungen.HybridPetya ist ein Warnsignal für die IT-Sicherheitsbranche: Selbst UEFI Secure Boot ist kein absoluter Schutz mehr vor innovativen Bootkit-Angriffen. Aktuelle Patches, technische Analysen und präventive Sicherungsmaßnahmen sind unerlässlich, um der neuen Generation von Ransomware einen Schritt voraus zu sein.