Les experts en cybersécurité d’ESET Research ont fait une découverte majeure : un nouveau type de ransomware, baptisé HybridPetya, qui combine les caractéristiques destructrices de Petya/NotPetya avec des capacités modernes et alarmantes. Ce malware, identifié sur la plateforme VirusTotal, est capable non seulement d’infecter les systèmes UEFI modernes, mais aussi, dans l’une de ses variantes, de contourner la protection fondamentale du démarrage sécurisé (Secure Boot) en exploitant une vulnérabilité critique.
La Découverte : Un Écho de NotPetya
Fin juillet 2025, plusieurs fichiers suspects téléchargés depuis la Pologne ont attiré l’attention des chercheurs. L’un d’eux, nommé notpetyanew.exe, a immédiatement déclenché l’alerte, évoquant une filiation claire avec le malware NotPetya. Cette cyberattaque de 2017 reste l’une des plus dévastatrices de l’histoire, un « wiper » déguisé en ransomware qui a paralysé des entreprises mondiales, notamment en Ukraine, et causé des pertes estimées à plus de 10 milliards de dollars.
« En raison des similitudes techniques observées, nous avons nommé cette nouvelle variante HybridPetya », explique Martin Smolár, le chercheur d’ESET à l’origine de la découverte. Cependant, une différence cruciale a été notée : contrairement à NotPetya qui détruisait les données de manière irréversible, HybridPetya est un ransomware pleinement fonctionnel. Il utilise un algorithme permettant à l’attaquant de reconstituer la clé de déchiffrement à partir d’une clé d’installation, le rendant similaire au Petya original.
Une Double Menace : Chiffrement MFT et Infection UEFI
L’analyse d’ESET révèle qu’HybridPetya opère une attaque redoutable en deux temps sur les systèmes de fichiers NTFS.
Premièrement, il cible la Master File Table (MFT). La MFT est un fichier critique qui sert d’index pour l’intégralité d’une partition NTFS ; il contient les métadonnées sensibles (nom, taille, emplacement) de tous les fichiers. En chiffrant la MFT, HybridPetya rend l’ensemble de la partition inaccessible, bloquant de fait l’accès à toutes les données qu’elle contient.
Deuxièmement, pour assurer sa persistance et son exécution au plus bas niveau du système, le malware compromet les systèmes UEFI modernes. Il parvient à déployer une application EFI malveillante directement sur la partition système EFI (ESP), lui permettant de s’exécuter avant même le chargement du système d’exploitation principal.
Contournement du Secure Boot via la CVE-2024-7344
La découverte la plus inquiétante concerne une variante spécifique d’HybridPetya. En poursuivant leurs investigations sur VirusTotal, les chercheurs d’ESET ont mis la main sur une archive contenant l’intégralité d’une partition système EFI.
« Celle-ci incluait une version similaire de l’application UEFI HybridPetya, encapsulée dans un fichier cloak.dat spécialement formaté pour exploiter la CVE-2024-7344 », précise M. Smolár. Cette vulnérabilité, révélée par ESET début 2025, permet de contourner le démarrage sécurisé sur les machines vulnérables. Le Secure Boot est un mécanisme de sécurité essentiel conçu pour empêcher l’exécution de code non autorisé (comme les bootkits ou les ransomwares de bas niveau) pendant la phase de démarrage.
L’équipe d’ESET souligne un point préoccupant : « Bien que nos publications de janvier aient volontairement omis les détails techniques de l’exploitation, il semble que l’auteur du malware ait réussi à reconstruire le format du fichier vulnérable via rétro-ingénierie. »
Un Prototype ou une Menace Dormante ?
À ce jour, la télémétrie d’ESET offre une lueur d’espoir : aucune activité malveillante d’HybridPetya n’a été détectée dans un environnement réel. Les chercheurs estiment qu’il pourrait s’agir d’un prototype, peut-être développé à des fins de recherche ou par un acteur malveillant encore inconnu en phase de test.
De plus, cette variante ne semble pas posséder les capacités de propagation réseau agressives (comme l’exploitation d’EternalBlue) qui avaient rendu NotPetya si viral et dévastateur en 2017. La communauté de la cybersécurité reste néanmoins en état d’alerte face à l’émergence d’un outil combinant des techniques d’infection de bas niveau aussi sophistiquées.
L’analyse technique complète est disponible sur le portail officiel d’ESET Research :
Présentation d’HybridPetya : copie de Petya/NotPetya avec contournement de démarrage sécurisé UEFI
