Investigadores de ESET Research han identificado un nuevo y sofisticado malware: HybridPetya, un peligroso ransomware que remite a los devastadores ataques de Petya y NotPetya en 2017, los cuales provocaron pérdidas millonarias. Esta nueva variante representa una amenaza avanzada al ser capaz de comprometer sistemas modernos UEFI y explotar vulnerabilidades para evadir el mecanismo de Secure Boot, considerado una de las últimas fronteras de defensa en los equipos actuales.
HybridPetya se detectó por primera vez en VirusTotal desde Polonia en febrero de 2025, con archivos que llevaban nombres como «notpetyanew.exe». Según Martin Smolár, investigador de ESET, la similitud con Petya y NotPetya es evidente, pero con una diferencia clave: a diferencia de NotPetya, HybridPetya permite descifrar archivos bajo la demanda del atacante, alineándose más con un modelo tradicional de ransomware, pero conservando la agresividad de su predecesor.
El funcionamiento de HybridPetya comienza con el cifrado de la Master File Table (MFT) de los sistemas de archivos NTFS, lo que provoca la imposibilidad de acceder a los datos almacenados, dejando el equipo bloqueado. El avance más notable de este malware es su capacidad para comprometer modernamente equipos a través de la instalación de una aplicación EFI maliciosa en la partición del sistema EFI (ESP). Este bootkit permite ejecutar el cifrado antes de que se cargue el sistema operativo, anulando los mecanismos de seguridad de Windows y complicando las tareas de recuperación.
Además, uno de los ejemplares analizados contenía un archivo manipulado que explotaba la vulnerabilidad CVE-2024-7344, descubierta a principios de 2025. Este exploit permite a HybridPetya evadir medidas de arranque seguro en sistemas no actualizados, facilitando ataques en equipos modernos que debieran estar protegidos.
Hasta el momento, ESET no ha identificado campañas activas utilizando HybridPetya, lo que sugiere que podría tratarse de un proof of concept desarrollado por investigadores o por grupos de ciberdelincuentes en fase de prueba. Contrario a NotPetya, esta versión no cuenta todavía con mecanismos de propagación masiva en red, lo que limita su alcance inmediato, pero su sofisticación señala un esfuerzo claro por avanzar en técnicas de ransomware para futuras ofensivas.
El descubrimiento de HybridPetya subraya la evolución continua del ransomware, ahora dirigido a componentes de arranque y firmware, complicando su detección y mitigación. Asimismo, resalta la importancia de aplicar parches de seguridad, especialmente contra vulnerabilidades como la CVE-2024-7344, ya que los sistemas no actualizados son particularmente vulnerables a este tipo de amenazas. Aunque por ahora no se ha registrado su uso en campañas masivas, HybridPetya podría convertirse en una herramienta en ataques dirigidos a infraestructuras críticas o entidades gubernamentales.
Para mitigar el riesgo, se recomienda aplicar las actualizaciones de seguridad correspondientes, mantener copias de seguridad offline y reforzar las políticas de seguridad relacionadas con el arranque de los sistemas.
Más información y referencias en Noticias Cloud.
