Foto: Ilustracija/Pexels

Sigurnosni istraživači iz ESET-a nedavno su otkrili novu varijantu zlonamjernog softvera koju su nazvali HybridPetya, a koja predstavlja izuzetno ozbiljnu prijetnju računalima diljem svijeta.

Riječ je o sofisticiranom zlonamjernom programu koji kombinira značajke starih ransomware virusa Petya i NotPetya (za koje se vjeruje da su ih razvili ruski hakeri), ali ide i korak dalje, jer je sposoban ugroziti sam firmware računala, točnije UEFI (Unified Extensible Firmware Interface). UEFI je dio računala koji se pokreće prije samog operativnog sustava i zadužen je za inicijalizaciju hardvera i pokretanje sustava. Napad na ovaj dio računala izuzetno je opasna tehnika jer zlonamjerni softver tako dobiva potpunu kontrolu nad uređajem i izuzetno ga je teško ukloniti.

Posebno je zabrinjavajuće što HybridPetya uspješno zaobilazi mehanizam zaštite Secure Boot, koji bi trebao spriječiti učitavanje opasnog računalnog koda tijekom pokretanja računala. Istraživači su otkrili da zlonamjerni softver iskorištava ranjivost označenu s "CVE-2024-7344", koja omogućuje hakerima da iskoriste zlonamjerni softver i da ga operativni sustav prihvati kao legitimnog. Ako uređaj nije ažuriran i nema najnovije sigurnosne zakrpe, ovaj napad može potpuno ugroziti cijelu računalnu mrežu već u ranim fazama pokretanja.

Nakon što se instalira na računalo, virus HybridPetya ne radi kao tipični ransomware koji šifrira svaku datoteku zasebno. Umjesto toga, napada glavnu tablicu datoteka (Master File Table), uzrokujući da operativni sustav više ne pronalazi nijednu datoteku na disku. Na taj način korisnik trenutno gubi pristup svim podacima, bez obzira na njihovu veličinu ili broj. Na zaslonu se zatim pojavljuje poruka sa zahtjevom za otkupninom i uputama o načinu plaćanja, ali do sada nije potvrđeno da napadači zapravo imaju ključ koji bi se mogao koristiti za otključavanje podataka, što sugerira da bi se moglo raditi o čistoj destruktivnoj sabotaži, a ne o pravom ransomwareu s profitnim motivom.

Još jedan ozbiljan problem je što HybridPetya može preživjeti ponovnu instalaciju operativnog sustava. Budući da je ušao u UEFI, ne briše se jednostavnim formatiranjem diska ili ponovnom instalacijom sustava Windows, što znači da ostaje prisutan i aktivan čak i nakon potpune ponovne instalacije sustava. To ga čini gotovo nevidljivim za većinu antivirusnih programa, jer oni obično ne provjeravaju UEFI zonu.

Stručnjaci savjetuju korisnicima i administratorima da odmah provjere jesu li im računala ažurirana i je li instalirana najnovija verzija BIOS/UEFI softvera. Također, važno je uključiti Secure Boot i redovito primjenjivati ​​sigurnosne zakrpe koje ispravljaju poznate ranjivosti. Preporučuje se i redovito izrada sigurnosnih kopija svih važnih podataka na vanjski disk ili u pouzdan oblak, kako bi u slučaju napada gubici bili minimalni. HybridPetya je pokazatelj da kibernetičke prijetnje postaju dublje i teže ih je otkriti te da zaštita više nije samo stvar antivirusa, već održavanja cijelog sustava ažurnim od temelja, prenosi Net.hr.