HybridPetya: Neues Ransomware-Bootkit umgeht Secure Boot
Internet-Kriminelle haben offenbar eine Methoden gefunden, mit der sich die Secure-Boot-Schutzfunktionen von Windows-PCs umgehen lassen, um Ransomware auf die Systeme zu bringen. Eine neue Ransomware-Variante namens "HybridPetya" nutzt dafür eine Schwachstelle in Secure Boot aus.
Laut ESET nutzt die neue Ransomware die Schwachstelle CVE-2024-7344 aus, um eine normalerweise bei aktiviertem Secure Boot erfolgende Abfrage zu umgehen, bei der normalerweise Zertifikate für jede während des Starts aktiv werdende Software auf ihre Authentizität hin überprüft werden. Microsoft hatte die zugrundeliegende Schwachstelle mit dem Patch-Day des Monats Januar 2025 offiziell geschlossen.
Natürlich kann der Besitzer des jeweils befallenen PCs dann nicht mehr auf seine Dateien zugreifen. HybridPetya lässt laut ESET im Anschluss eine Nachricht auf dem jeweiligen Computer anzeigen, die die Verschlüsselung der Daten bestätigt und die Zahlung von 1000 US-Dollar in Form von Bitcoin für deren Freigabe fordert. Außerdem wird ein "Installationsschlüssel" angezeigt, den das jeweilige Opfer zusammen mit einer eigenen ID einer Bitcoin-Wallet übermitteln soll, um die Freigabe seiner Daten zu erreichen.
Schon 2016 und 2017 hatten Malware-Angreifer ähnliche Attacken gestartet, die damals unter den Namen "Petya" und "NotPetya" bekannt wurden. Anders als HybridPetya sollten die alten Varianten aber keine Lösegeldzahlungen erpressen, sondern vor allem Daten zerstören. ESET zufolge bestätigt die Entdeckung von HybridPetya, dass UEFI-Bootkits mit einer Funktion zur Umgehung von Secure Boot eine echte Bedrohung darstellen.
Siehe auch:
Ransomware nutzt im Januar offiziell geschlossene Lücke
Eigentlich soll UEFI Secure Boot dafür sorgen, dass während das Startvorgangs eines PCs kein Schadcode eingeschleust werden kann. Laut dem Sicherheitsdienstleister ESET haben Angreifer nun aber einen Weg gefunden, mit dem der Schutz umgangen werden kann, auch wenn die neue Ransomware angeblich noch nicht in aktiven Kampagnen eingesetzt wird.Laut ESET nutzt die neue Ransomware die Schwachstelle CVE-2024-7344 aus, um eine normalerweise bei aktiviertem Secure Boot erfolgende Abfrage zu umgehen, bei der normalerweise Zertifikate für jede während des Starts aktiv werdende Software auf ihre Authentizität hin überprüft werden. Microsoft hatte die zugrundeliegende Schwachstelle mit dem Patch-Day des Monats Januar 2025 offiziell geschlossen.
Opfer sollen 1000 Dollar in Bitcoin zahlen
Bei der HybridPetya genannten Ransomware gelingt es den Malware-Entwicklern Secure Boot komplett zu umschiffen, woraufhin die Ransomware direkt auf die Boot-Partition des jeweiligen Systems zugreifen kann, um dort Dateien zu ändern, zu löschen oder anzulegen. Auf diese Weise verschafft man sich die Kontrolle über den Startprozess des Systems und kann die restlichen Inhalte des jeweiligen Systems verschlüsseln und unzugänglich machen.Natürlich kann der Besitzer des jeweils befallenen PCs dann nicht mehr auf seine Dateien zugreifen. HybridPetya lässt laut ESET im Anschluss eine Nachricht auf dem jeweiligen Computer anzeigen, die die Verschlüsselung der Daten bestätigt und die Zahlung von 1000 US-Dollar in Form von Bitcoin für deren Freigabe fordert. Außerdem wird ein "Installationsschlüssel" angezeigt, den das jeweilige Opfer zusammen mit einer eigenen ID einer Bitcoin-Wallet übermitteln soll, um die Freigabe seiner Daten zu erreichen.
Schon 2016 und 2017 hatten Malware-Angreifer ähnliche Attacken gestartet, die damals unter den Namen "Petya" und "NotPetya" bekannt wurden. Anders als HybridPetya sollten die alten Varianten aber keine Lösegeldzahlungen erpressen, sondern vor allem Daten zerstören. ESET zufolge bestätigt die Entdeckung von HybridPetya, dass UEFI-Bootkits mit einer Funktion zur Umgehung von Secure Boot eine echte Bedrohung darstellen.
Zusammenfassung
- Neue Ransomware 'HybridPetya' umgeht Windows-Secure-Boot-Schutz
- Schwachstelle CVE-2024-7344 erlaubt Umgehung der Zertifikatsüberprüfung
- Microsoft schloss die Sicherheitslücke im Januar 2025 mit einem Patch
- Schadsoftware kann auf Boot-Partition zugreifen und Dateien verschlüsseln
- Für die Freigabe der Daten werden 1000 US-Dollar in Bitcoin gefordert
- Altere Malware 'Petya' und 'NotPetya' zielte auf Datenzerstörung ab
- UEFI-Bootkits mit Secure-Boot-Umgehung stellen ernsthafte Bedrohung dar
Siehe auch:
- Reich genug: Gleich 15 Ransomware-Banden kündigen Rückzug an
- Jeder Angriff anders: Erste KI-generierte Ransomware im Umlauf
- Insolvenz: Führende deutsche Firma nach Ransomware-Angriff vor Aus
- Nach Ransomware-Angriff: Deutsche Traditionsfirma muss in Insolvenz
- Ransomware auf CPU-Ebene: Alle gängigen Schutzmaßnahmen nutzlos
Thema:
BitCoin-Kurs
Videos zum Thema Bitcoin
Bitcoin Münze (24-Karat Gold-Überzug)
BAMBUA 8,99 € 1 Angebote im WinFuture Preisvergleich
Beiträge aus dem Forum
-
Abfrage meiner Bitcoinadressen per Batsch Schleife
thielemann03 -
Ratenzahlung für Handy, bis heute keine Rate vom Konto abgezogen
Rionaa -
[erledigt] [V] ASRock H81 Pro BTC R2.0, CPU, Graka & DDR3
ephemunch -
Zahlungsoptionen im Xbox Store
DON666 -
EXCEL - Webseite für historische und aktuelle Währungsumrechnung
LutzM
Weiterführende Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen